« 「コンピュータ」が「コンピューター」に!?redirect後のexit »

フラッシュメモリ感染型ウイルス

フラッシュメモリ感染型ウイルス

パーマリンク 2008/07/29 23:23:53 著者: kumaold メール
カテゴリ: 仕事, PCサポート

本日はウイルスに感染したPCの対処に苦戦しました。

今年前半に感染が拡大したウイルス『MAL_OTORUN1』で、フラッシュメモリ・外付HDDなどの物理的移動手段で他のPCに感染します。

デバイスのルートにある『autorun.inf』に自分自身を自動起動させるような記述をするので、感染したデバイスをPCが認識した時点で既に感染しています。

感染したPCがインターネットに繋がっていれば、さらに別のウイルス(今回は『W32.Gammima.AG』)にも感染します。


このウイルスの厄介なところは、自身を隠し属性・システムファイル属性に設定の上、エクスプローラから隠蔽してしまうので実行ファイルの駆除が大変でした。

ウイルスの実体はC:\WINDOWS\system32の以下のファイルです。

****.exe, ****0.dll, ****1.dll

****は kavo, revo, mmvo の3種類あります。


C/Dドライブのルートに普通あるはずのない『autorun.inf』を見ると、『g.exe』を実行しているようでした。

普通には削除不能なので、コマンドプロンプトから隠し+システム属性解除

ATTRIB -r -s -h g.exe

これでエクスプローラから見えるようになりました。
しかし御操作を防ぐ意味でも極力触りたくないので、これで削除完了!

DEL g.exe


ついでに感染したフラッシュメモリの方も駆除。
しかしそのままPCに挿すと再感染するので、自動再生をOFFにしてからです。

これで一応は駆除が完了しました。
あとはウイルスによって変更された設定を戻せば完了!



しかし最近こんなウイルスが流行っているとは・・・
知り合いから借りたフラッシュメモリとかSDカードは要注意ですね。

→参考
トレンドマイクロ: USBメモリで広まるウイルスへの対策



ウイルスバスター2008 1年版 SP1対応ウイルスバスター2008 1年版 SP1対応

トレンドマイクロ 2008-03-14
売り上げランキング : 8
おすすめ平均

Amazonで詳しく見る
type="text/javascript" src="http://www.ad16.jp/socailmedia.php?a=CCBot%2F2.0+%28http%3A%2F%2Fcommoncrawl.org%2Ffaq%2F%29&u=http%3A%2F%2Fkuroutoshikou.blog16.jp%2Findex.php%2F2008%2F07%2F29%2Fa_a_ca_a_ma_ya_ia_ca_oa_a_a_a_ba_ca_la_s" charset="EUC-JP">

一六社で働くITエンジニアのブログ。

普段はWeb系システム開発と地元のPCサポートをやってます。いつの間にやら会社に8年目。
技術ネタ中心に日々の仕事と生活と趣味やらを気が向いたら書いてます。

2017年3月
 << <   > >>
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

検索

XMLフィード

16ブログ     blogging tool