2009年3月15日日曜日

USBメモリに感染するウィルス

最近、巷でUSBに感染するタイプのウィルスが猛威を振るっているそうです。
どちらが先か分らないですが、ウィルスに感染したPCにUSBメモリを挿すと、そのUSBメモリに感染して、そのUSBメモリを他のPCに挿すと、そのPCにも感染するようです。

主な症状としては、

・マイコンピューターから開こうとしても開けないドライブ。
・マイコンピューターから開こうとすると「アクセスが拒否されました」とでるドライブ。
・マイコンピューターにてドライブのアイコンを右クリックすると「打?(O)」と出るドライブ。

という症状が上げられます。
このほかに致命的な症状が出るかどうかは今のところオレ的に不明です。
USBメモリがウィルスに感染すると、直下に

desktop.exe
autorun.inf
folder.exe
desktop2.exe

の4つの隠しファイルを作成します。もちろん隠しファイルだから、そのままでは見る事が出来ません。
更にたちの悪いことに、フォルダオプションで、
「すべてのファイルとフォルダを表示する」が有効にならないので、隠しファイル状態のこれらに触ることが出来ないです。

今のところ普通のアンチウィルスソフトでは発見しにくい事が多く、ノートンやウィルスバスターでも発見できない事があります。コレに関しては将来的に改善されると思いますが・・・
ま、ココから先はオレが事務所内のPCで起こった症状に対して、ネットなどで調べて対処した方法ですので、失敗しても文句言わないでくださいね、環境はXPで行いました。

まず、第一にメジャーな方法ですが、メモ帳か何かで、「autorun.inf」ファイルを作って該当するUSBメモリに上書きする。中身は何も無くていいです。ようは、ウィルスの実行ファイルになっている「autorun.inf」を白紙のダミーファイルで上書きしてやります。
これで、USBメモリに普通にアクセスできるようになります。
しかし、それではまだ、「すべてのファイルとフォルダを表示する」が有効にならないので、レジストリエディタで、下記の項目を書き換えてやります。
ちなみに、レジストリエディタは、スタートメニューの「ファイル名を指定して実行」に「REGEDIT.EXE」と入力して実行すれば開きます。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"CheckedValue"=dword:00000001

こんな感じです。
それで、全てのフォルダを表示してやって、USBメモリにある、いらないファイル(desktop.exe、autorun.inf、folder.exe、desktop2.exe)を消してやりましょう。
それでも不十分なので、そこからは普通のアンチウィルスソフトを走らせて、PC内の要らないファイルを駆除してやりましょう。

それで完全かどうか分りませんが、今のところUSBメモリは普通に動いているようです。
また、新たに感染したメモリも出てきていません。

何度も言うようですが、これらの情報はオレの環境で試したもので、全ての環境で同じ結果が得られるとは限りません。
参考にしていただくにしても、自己責任でお願いします。

それと、「そんな怪しい方法試せるかよ!もっと安全な方法はないのか!!」という方。
有料でよかったらイーセットのスマートセキュリティが良さそうですよ。体験場もあるし、試して見ては?

0 件のコメント: