新型のウイルスに感染してしまったようです
といってもインフルエンザの話ではなく、PC
ワタクシが仕事場で使っているPCが、今日やられちゃいました
土曜日におこなった行事を記録した写真を
担当者からMOディスクで受け取ってドライブにセットしたら
「ウイルスに感染したファイルが見つかりました...駆除しました」
と、セキュリティソフトが警告を発したのですね
えっ? と思ってダイアログを見たら
「autorun.inf」が感染しているとのことでした
『卓駆★(ファイルマネージャソフト)』でMOディスクの中を見たら
jpegの画像ファイルに混じって「q8ot.exe」というのがありました
「何故、データファイルのディスクに実行ファイルがあるのだろう?」
ひょっとしたら気を利かしてブラウジングソフトを入れておいてくれたのかな
すでにウィルスに感染しているというファイルは削除されているという安心からか
軽い気持ちでその「q8ot.exe」をクリックしてみたのですが...何も起きません
実は後から自分の目で確かめたのですが
厳密に言うと「autorun.inf」はウィルスファイルでもなんでもなく
ちゃんとした文法通りの自動実行定義ファイルでした
つまり、このメディアを挿入したら「q8ot.exe」を実行しろと指示してるだけ
なんのことはない、ワタクシはセキュリティソフトが食い止めたものを
自分の手で実行してしまったのでした
...さて、この後どうなる?
特段変わったことは起きませんでした
まぁそのときはまだ、これが怪しいファイルだとは思っていませんでしたから
別に何も思わなかったのですが
ふと気がついたらハードディスクのCドライブや
たまたまその時挿し込んでいたUSBメモリのルートディレクトリにも
「q8ot.exe」や「autorun.inf」ができているではありませんか
あれ? これは変だぞ...と思って削除したのですが
数秒後には再びそのファイルが現れているではありませんか
削除だけではなく、リネームや、挙句にはUSBメモリのフォーマットまでしても
「q8ot.exe」が新たに現れてくるのです
この不屈の根性、というかゾンビみたいな振る舞いこそがウイルスの感染だったのです
とにかくこいつはこうやって次から次に増殖してゆくらしい...
いや、きっと増殖だけが目的ではなく
何か悪さを仕掛けてくるかもしれません、PCが動かなくなったら最悪です
なんとか駆除をしなくてはなりません
「q8ot.exe」をキーワードに検索してみるのですが
日本語で書かれたサイトがヒットしません。こんな英語のサイトがヒットするだけ
...ううむ、日本では7月10日に発見されたばかりのようです
英語を見ていてもちっとも判りませんから、もういちど頭でよく考えてみます
削除してもすぐにまたファイルができてくるということは
どこかで監視している黒幕がいるはずです
しかもそれはPC起動時から活動していなければなりません
ということで「msconfig」を動かしてスタートアップを点検しますが
どれももっともらしく必要そうなファイルで、黒幕が判りません
再び英語のサイトを見てみると
「File Name Aliases」という見出しの下に
「Q8OT.EXEは名前を騙ることがある」と訳せそうな言葉がありました
...ワタクシ、英語はからきし駄目ですが、そう書いてあるように思えたのです
「あ、このファイル名は見覚えがある!」
調べてみると、案の定、スタートアップ項目の中に
「XVASSDF.EXE」を起動させるエントリーがありました
チェックを外し、もちろんファイルのありかを調べて削除します
そうやっておいて再起動させてみると...ビンゴ
もう「q8ot.exe」を削除しても復活することはありませんでした
・MOディスクなどをPCにセットすると「autorun.inf」により
「q8ot.exe」が実行される
・「q8ot.exe」は「XVASSDF.EXE」を生成し、システムディレクトリの奥に潜ませる
・「q8ot.exe」または「XVASSDF.EXE」はレジストリを書き換え
PC起動時に「XVASSDF.EXE」を起動させるようにする
・「XVASSDF.EXE」はPC内を監視し
常に各ドライブのルートディレクトリに「autorun.inf」「q8ot.exe」を生成する
とまぁ、かいつまんで書くとこの程度の文章ですが
今日はこれで半日頭を抱えていました
しかしまぁこのウィルス、リムーバブルメディアを介して感染し
ひたすら削除されまいとする以外にどういう悪さをするのでしょう?
そのうち日本語で報告されたサイトが出てくるでしょうが
とりあえずワタクシがその役目を担わずに済んだということは僥倖なのでしょうね
しかし、新型ウィルスと書きましたが
ネットワークが未発達の頃はウィルスの感染源ってフロッピーだったんですよね
コメント (4)
googleからやってまいりました。お初になります。
知人が本ウィルスに感染してしまいました。
除去は一般的なmmvo系の方法で済むのですが、改変されたシステムの修復がうまくできません。
「すべてのファイルを表示」はレジストリで直せましたが。ほかに(1)windows updateにアクセスできない (2)「システム復元を無効にする」チェックボックスがグレーアウトして触れない という改変が行われているようです。
(1)は単純なhosts改ざんでは無いようです。うんざりしますね。
投稿者: yupa | 2009年07月14日 07:53
▽yupaさん
なるほど、自分は別のファイルマネージャソフトを使っているので
「隠しファイルが見えないように固定されている」
ことに気がつきませんでした
とことん自分が見つからないよう、削除されないようにするやつですね
(1)windows updateにアクセスできない
(2)「システム復元を無効にする」チェックボックスが触れない
これは大丈夫でした
同じウィルスでも振る舞いに違いが見えますね...と
今日は別のPCで、「どうしても除去できない」という
最悪なやつに出会ってしまいました。究極の進化形でしょうか
話すと長くなるので、記事にまとめてアップします
投稿者: まつお | 2009年07月14日 22:18
まつお様へ
7/16朝からはgoogleでも感染事例が複数ヒットするようになりました。その事例からすると私が書いた(1)、(2)の症状は無いようです。ということは私が遭遇したケースは複合型感染だったのかもしれません。
最悪のウィルス<いつ自分にも降りかかるかわかりません。レポートお待ちしております。
投稿者: yupa | 2009年07月16日 07:35
▽yupaさん
自分の不注意でうっかりウィルスに感染し
しかもそれが日本上陸から間もないとのことで
浮き足立ったりおろおろしましたが
落ち着いてかかればしばらく前から流行っていたやつの新種・亜種
あちこちに対処法も載っていたので少々落ち着きました
ま、それだけ情報が出ていれば、こちらの出る幕も無いかな
投稿者: まつお | 2009年07月17日 22:06