ゾンビの巣窟

 
中年オヤジが気ままにネット社会の辺境で綴っているブログとしては
今週は相当数のアクセスをいただいておりますが
それもこれも「q8ot.exe」という名前で通っているウィルスのおかげであります

まぁ、15日を境にアクセスが減ってきているのは
ちゃんとした対処法を記した日本語の記事があちこちに現れたからで
無駄な言葉が多いワタクシのブログよりははるかに実用的でありますので
感染して困っている人は、そちらを参考にされることをお勧めします

それでもいちおう簡単に削除の手順を書いておきますと

 1.感染を確認する
 2.スタートアップから黒幕ファイル(xvassdf.exe)が起動しないようにする
 3.「autrun.inf」「q8ot.exe」「xvassdf.exe」を削除する
 4.書き換えられたレジストリを書き戻す

と書くだけだったら、ホント、簡単です
ところが、敵は「隠しファイル」の属性を持っていて
Windowsで「隠しファイルも表示する」設定変更ができないように細工していました
このため、Windows標準装備のユーティリティだけでは「確認」ができないんですね
「確認ができない」という現象をもって「感染を推定する」しかない
だからその後の駆除だって、セーフモードで立ち上げて
いちいちコマンドを入力して操作するしかない
ワタクシはMS-DOS 3.xくらいの頃からPCを使っていますし
ネット利用だってパソコン通信のTelnet接続から始まってますから
今でもある程度コマンドラインでPCの操作はできますけど
やっぱりGUIに慣れちゃうと面倒ですよ
黒い袋の中にカメラを入れて、手探りでフィルム交換をやっているような気分です
WindowsXPで初めてPCを触った人にとっては敷居が高いことでしょう

あとひとつ感じたことは、やっぱりWindows依存ではいけないな、ということです
例の「隠しファイルが見えない」ということですが
ワタクシは『卓駆★』を使って問題なく見えていましたし
だからこそファイルの一覧を見ながら簡単に怪しいファイルを見つけて削除できました
Windowsのバージョンが若かった頃は、ユーティリティは不備だらけでした
だからこそフリーウェアやシェアウェアなどで便利なツールがいっぱい生まれたのです
『チューチューマウス』『LHA』『Susie』...
悪意を持ったプログラムを開発する連中は、やはりWindowsの機能を殺そうとします
Windowsとは無関係だと、こういうときに影響を被らないなと感じたのです
『卓駆★』だけとは限りませんが、ファイルマネージャソフトを持っていると便利です

今回のウイルス事件、当然ですがワタクシと例のノートPCだけでは納まりません
仕事場では他にも何台か感染しているPCが見つかっています
おそらく、さらに増えることでしょう
とりあえず「スタートアップから黒幕を起動しない」という応急処置を施していますが
  だって、他にも忙しくて手一杯なんだもの...明日も休日出勤だ
そもそもこの「q8ot.exe」はどんな悪さをするウィルスなのでしょう?
実のところ、それがよく判りません
ただただ伝染を続けるだけが目的ではないと思うのですけどね

昨日見つけた『USBメモリー感染型ウィルス(revo)について』というページに
考えられる被害予想として

  ・USB等の記録メディアに、汚染を拡大します(感染後ただちに)
  ・ネット経由で、パスワード等の重要情報を漏出させます
  ・他のウィルスをネット経由で、引き込みます(そのうち、ウィルスの巣状態になります)
  ・パソコン内に隠れ家をたくさん作り、駆除されにくくします
  ・ネット接続がしにくい、あるいは、できなくなります
  ・必要なファイル(資料)にアクセス出来なくなります
  ・パソコンが起動できなくなります
  ・黒幕にパソコンを乗っ取られます

とありました

ところで、
  autorun.infを削除したら次の瞬間には復活し
  今度はy.comを起動させようとした
  それも削除したら、また別の名前のファイルを指定したautorun.infが復活

した件ですが
別の感染したPCで、Cドライブのルートディレクトリを覗いたら
「q8ot.exe」「y.com」以外にも10個くらい実行ファイルがありました
ちなみにワタクシのPCには「NTDETECT.COM」しかありません
つまり、それ以外の「なんとか.exe」や「かんとか.com」は
「q8ot.exe」の交代要員と考えていいでしょう...全部削除しました
どうも感染して時間が経つにつれ、PC内部はゾンビの巣窟となってしまうようです
例のノートパソコンが起動しなくなった原因がここにあるかは不明ですが
上記の被害予想が的中しているような気がします
  今朝、ネット接続が途切れがちになったのでドキッとしましたが
  どうやらルーターの不調のようでした。リセットしたら直りました

今、ワタクシのPCはレジストリを書き換えて「autorun.inf」を
完全に無効化する設定にしています。解釈しない、と言ってもいいかもしれません
これをやると「まったく問題のない市販CD-ROM」までもが自動起動しなくなるのですが
自分でそれを承知して「まず『卓駆★』を起動」して「カレントドライブをDに変更」し
「setup.exe」やら「mokuji.html」「erodouga.swf」などを直接開けばいいだけです
『卓駆★』依存症のワタクシには、ちっとも面倒ではありません(笑)

  この、「直接実行ファイルをクリックする」癖が
  ゾンビを目覚めさせ、今回のトラブルを招いたわけですが
  考えようによっては、そのおかげでこういうウィルスが流行っていることを知り
  対処法を身に付けたわけですのか、やっぱり良かったと思います
  でなきゃ、気がつかないまま自分が感染源になっているところでした

感染被害に遭って(遭ったと思って)困っている人へ

このブログは「解説書」ではなく、基本的に「読み物」というスタンスですので
詳しい削除方法やレジストリの変更部分などは載せませんでした
「q8ot.exe」だけではなく「autorun ウィルス」「USB感染」などをキーワードに検索し
いろんな情報に接して、自分ででもできるという判断のもとに試してみてください

最悪の事態(クリーンインストール)に備えて、PCがちゃんと動いているうちに
必要なデータのバックアップはとっておいた方がいいです
...その外付けHDDだかDVDにもウィルスが潜んでいることをお忘れなく

【このブログ内の関連記事】

"Q8OT.EXE"
ゾンビ
封じ込め
秘密兵器
「1か4分の1」連休
お詫びと弁明