「USBメモリー経由のウイルス感染、大学で猛威振るう」の記事
昨年4月、ある知合いの先生から、「3月にあちこちの学会で講演をしていたら、PCがウイルスに感染しちゃったんだよね。なぜだと思いますか?」という質問をききました。さっそく調べてみたところ、どうも、USBメモリーを介してウイルスが伝播しているようだということがわかりました。その後、9月にも同じ話がでてきて、そして1月にも出てきました。8月には学会が多く、12月には学生からUSBメモリーを預ることも多いわけで、そのあとに感染が増えているということだと思います。
で、そんな大学の状況を伝える記事が、2009年1月24日付読売新聞夕刊と、Yomiuri OnLine(YOL)に掲載されました。ここでは 新聞、YOL ではおそらく紙面の制約上掲載されなかったであろうことについて、補足説明?をしておきます。
まず、昨今はウイルス対策ソフトもフリーのものも含めて普及し、OSやウイルス対策ソフトのアップデートをしている人も増えているのに、それでもコンピューターウイルス感染事例が報告されました。実は、今回の「Autorun」は、有名なウイルス対策ソフトでは発見・駆除できない期間が相当長くありました。その時期と大きな学会が多い時期が重なっていたことが、このウイルスの感染拡大を食い止められなかった理由の一つでしょう。また、今回のウイルスは亜種による変異が多く、同種のウイルスの一部を検知できても他を検知できないということもありました。
他には、PDF や Flash の脆弱性を利用したウイルスもあります。これらは OS とウイルス対策ソフトのアップデートでは対応できないので、別途注意をしておく必要があります。
「最近のコンピューターウイルス感染の多くは、電子メールに添付されたファイルからである」という神話が、いまもまだ流れています。つい先日も、ある企業の営業さんからそういう説明をききました。でも、現実はそうではないですね。他の経路もたくさんあるのです。
USBメモリー経由のウイルス感染は、昔流行ったフロッピーディスク経由を思い出させます。また、ネットワークドライブ経由というのもありますよね。また、メール以外だと、webブラウザが拾ってくる場合、メッセンジャーが拾う場合、リモートアシスタンスが拾う場合なども考えられます。さらに「繋いでいるだけで感染するWORMを拾う場合」もあります。また、パソコンでなくサーバーになるとさらにアタックの危険は高まります。他に、購入したソフトウェアが入っているCD-ROMから感染ということもあります。
どれが多いかという議論・結論自体が、無意味だと思います。それをいうと、その部分だけの対策で済ませる人がでてくるからです。この辺の誤解が、結果として対策を怠らせていると思います。
まず、Windows XP/Vistaには「自動再生(AutoPlay)」と「自動実行(AutoRun)」があります。前者は、ポータブルデバイス・リムーバブルデバイスにリッチコンテンツ(音声や動画や静止画)が入っている場合、利用者の確認なしに表示する機能です。後者は、同じ種類のデバイスに入っているプログラムを、そのデバイスが接続されたら実行するものです。ときどき「オートランウイルス対策には自動再生を無効にすればよい」と書いている人がいますが、これは完全な誤解。自動実行を無効にする必要があります。また、リッチコンテンツにウイルスが入っている可能性も否定できないので、自動再生も無効にする必要があります。
でも、これだけでは完璧ではないのです。実は、アプリケーションソフトやフリーソフトの中には、インストールすると、自動実行や自動再生をこっそりと有効にするものがあります。さらに、OSの自動実行・自動再生の機能を利用しない代わりに、別のソフトを常駐させて、USBメモリなどの接続状況を監視して、差し込まれたらすぐに中身を見に行くというものもあります。この辺を全部止めないといけないのです。
メーカーお勧めの初期設定は安全だと誤解している人が、あいかわらず多いようです。例えば、ファイル一覧を見ようとして、フォルダをクリックすると、左下に「プレビュー」がでるように設定されているのが初期設定ですが、これは大変危険です。感染ファイルを消そうとファイルアイコンをポイントした途端にプレビューが動作して感染したという例もあります。フォルダオプションから「クラシック表示」にしておくべきでしょう。今回のケースの場合は、「登録された拡張子は表示しない」「保護されたオペレーティング システム ファイルを表示しない」あたりは初期設定のままにしておいては発見や対応ができなくなります。
ということで大変面倒なのですがオートラン感染を疑われるPCの場合の対応方法を作ってみました。 間違いがあったら教えてください。
まず、当該PCはネットから外しておいてください。
- 当該PCの
C:\Windows\system32\drivers\etc\hostsをメモ帳で開く。127.0.0.1 localhost
の下に大量のブランク行、さらにその下に著名ウイルス対策ソフトアップデートホストに関する記述があれば、確実に感染している。(ブランク行がないと感染していない、ということはない。)
- ブランク行の下を全部削除する。(127.0.0.1 の行は残す)
未感染のPCを使って「avast! 4」のファイルを入手する。他にも 「Avira AntiVir」や、「AVG FreeEdition」なども検討していいと思います。
「プログラムの追加と削除からアンインストールができない場合は、手動アンインストールで対応する。手動アンインストールの方法は別のPCから調べるしかない。
当該PCに「avast! 4」をインストールする。rebootすると Windows がセーフティーモードで起動して、 avast! 4 が汚染ファイルを見つけて駆除してくれます。(約1時間かかります。)
- スタート→「ファイル名を指定して実行」→「regedit 」をタイプしてレジストリーエディタを起動する。起動できないときはレジストリー復活ツールをダウンロードして入れる。
- そのあと、
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NTをたどる。その下に 「SystemRestore」というサブキーがあり、 それをクリックして右の窓を見ると「DisableConfig」と言うのがある。 その「DWORD 値」で「1」になっていたら、そのサブキーごと削除する。 この時に「DWORD 値」で「0」でも システムの復元がグループポリシーで無効に設定にはなる事もある。
- いったん、PC再起動する。
- マイコンピュータ上で右クリック→プロパティ→システムの復元→すべてのドライブでシステムの復元を無効にする
- また、PC再起動する。
- スタート→「ファイル名を指定して実行」→「gpedit 」をタイプして、gpedit.msc を起動
- 「コンピュータの構成\管理用テンプレート\システム\自動再生機能をオフにする」→プロパティを開く(ダブルクリック)→「自動再生機能をオフにする」で「すべてのドライブ」を選択→有効をチェック→OKをクリック
- またまた、PC再起動する。
C:\Program Files\Alwil Software\Avast4\DATA\report\aswBoot.txtに、ブート時スキャンの記録が残っています。それの一番下に 0 と出ていればOkです。 (圧縮ファイルの中をチェックするようにすると、書庫が壊れていてチェックできないという記録も残っています。それはスルーしてください。)
- スタート→「ファイル名を指定して実行」→「regedit 」をタイプしてレジストリーエディタを起動する。
- メニューの中の「編集」→「検索」を選び、検索語に NeverShowExt を入力する。
- 見つかったら、 DELキー を使って削除を選ぶ。
- そのあと、F3 を押すと、次の NetShowExt が見つかる。これも削除。
- 同じことを繰り返して、すべてのNeverShowExtを削除する。
- ツール→フォルダオプション→表示→詳細設定→「保護されたオペレーティングシステムファイルを表示しない」のチェックをはずす。→Ok
- マイコンピュータを開いたままにしておく
- 念のためSHIFTキーを押しながら 疑わしいUSBメモリ をさす。USBメモリがドライブとして認識されたらSHIFTキーを離してもよい。
- ドライブの上で右クリック→ウイルス対策ソフトで検査
- 感染が見つかったら「チェストに移動」などを選ぶ。
- スタート→「ファイル名を指定して実行」→「 cmd 」をタイプして、以下のコマンドをタイプする。
(★以下、USBメモリが E: の場合です。)
E:
cd \
attrib -r -h -s autorun.inf
del autorun.inf
md autorun.inf
cd autorun.inf
md nokill..\
cd ..最後の4行は再発防止のために「感染ファイルと同名で、かつ簡単には消せないフォルダ」をつくる作業です。
- またまた、PC再起動する。
- 他のドライブ(HDD(C:)なども含める)でも、autorun.infという名前のディレクトリを作って、さらに削除が難しいように設定するといいようです。(この辺、検証できてない…)
E:
cd \
md autorun.inf
cd autorun.inf
md nokill..\
cd ..
以上です。間違いがあったら教えてください。
| 固定リンク
この記事へのコメントは終了しました。
コメント
AutoRun 機能を抑制する方法はここに和訳がありますね。
http://d.hatena.ne.jp/hasegawayosuke/20090122/p1
あと,この記事とか。
http://blog.lucanian.net/archives/51199862.html
投稿: 落伍弟子 | 2009年1月27日 (火) 04:28