いろいろ調べてみて、問題点が分かったのでご報告したいと思います。WORM_RBOT.GEN、結構苦労しました。まだ、完全に問題が収まったかどうかは分からないのですが、なんとなく問題となるファイルがなくなった気がしています。一応、関連する話をまとめますね。
現象
○AirH"で接続している時に、ほぼ30分に一度くらいずつ、ウィルスバスターが?????.exeを検知。拡張子を.VIRに変更した旨通知してくる
○VIRファイルのサイズは247KB
○?????.exeは、プロセスとして走ったことはない。何か別のプロセスが、?????.exeを作るか、DLしている模様。
当初の対策
○Outlook Expressを起動している時に、どうも、この?????.exeのアラートが出るので、OEの受信ファイルで添付ファイルがあるメールをごそっと削除 → 外れ
○Windows Updateを、重要な更新以外はやってこなかったかな?と思い、実行してみる。 → 外れ
○Microsoftが提供する、悪意のあるソフトウェアの削除ツール、というのをDLして実行してみた → 外れ
たまたま見つかった解決
まず、?????.exeというファイルですが、C:\に徐々に作られるようなんですね。あるタイミングで、VIRファイルを作成してくれるディレクトリを見ていたら、なんと、そこに?????.exeというのが生成されているのを発見したのです。生成中のファイルを削除しようとしてもできなかったのと、ファイルのプロパティを見て、ちょっと怪しいなぁと思いました。
それで、TaskManagerを立ち上げてみました。でも、もっともらしそうなプロセスしか走っていなかったのです。そこで、このアラートが出始めてからだいたい何日たったかなぁ?と思ってとりあえずここ二週間に変更のあったexeファイルを探してみたところ、怪しいexeが。winmed.exeとwinproxi.exeというものです。winproxy.exeというのは普通のファイルなんですが、winproxi.exeですね。ファイル名、勘違いしそうな雰囲気です。winmed.exeは、よくわからないまま削除しました。これはプロセスとして走っていなかったのですが、韓国語のwebで紹介されているだけのファイルなので、いらんだろう、と(^^;。問題は、winproxi。これはしっかり走っていました。そして、このファイルが、?????.exeと全く同じサイズ、見た目も同じプロパティだったのですね。
ちなみに、この?????.exeがどこからやってきたか。良く知らないページが表示されていました。
http://kytec.com/uploads/files/?????.exe
というものが怪しいらしい。ここは、どうやら画像などの掲示板をしているところのよう。どこかで、このパスが埋め込まれていて、それを踏んでしまったのか?WORMだから、なんらかの攻撃を受けたのかわかりません。ただ、InternetTemporaryFilesで、このPathが載っていたので、WORMがDLをさせていたんだと思います。
最後に、こういう、ワームって結構、いろんな人のパソコンに入っていたりするんだと思います。Virus対策ソフトを入れていなかったりして、判明していない場合も多くあるんだと思います。ワームとしてのファイル名と、表に見えるファイル名とは違っていて当たり前。悟られないような名前になっていたりするものだと思います。
今回は、winproxi.exeでしたが、過去、tisy.exeというのも出てきました。他にも、svhostなんたら、とか、よくわからない名前が出ていましたしね。ウィルスソフトは、名前で見ているのではなくて、ワーム活動の内容を見て、警告を発しているわけですから。ひょっとしたら、どこかにいらっしゃる同様の経験をされている方の参考になれば、と投稿しました。
現象
○AirH"で接続している時に、ほぼ30分に一度くらいずつ、ウィルスバスターが?????.exeを検知。拡張子を.VIRに変更した旨通知してくる
○VIRファイルのサイズは247KB
○?????.exeは、プロセスとして走ったことはない。何か別のプロセスが、?????.exeを作るか、DLしている模様。
当初の対策
○Outlook Expressを起動している時に、どうも、この?????.exeのアラートが出るので、OEの受信ファイルで添付ファイルがあるメールをごそっと削除 → 外れ
○Windows Updateを、重要な更新以外はやってこなかったかな?と思い、実行してみる。 → 外れ
○Microsoftが提供する、悪意のあるソフトウェアの削除ツール、というのをDLして実行してみた → 外れ
たまたま見つかった解決
まず、?????.exeというファイルですが、C:\に徐々に作られるようなんですね。あるタイミングで、VIRファイルを作成してくれるディレクトリを見ていたら、なんと、そこに?????.exeというのが生成されているのを発見したのです。生成中のファイルを削除しようとしてもできなかったのと、ファイルのプロパティを見て、ちょっと怪しいなぁと思いました。
それで、TaskManagerを立ち上げてみました。でも、もっともらしそうなプロセスしか走っていなかったのです。そこで、このアラートが出始めてからだいたい何日たったかなぁ?と思ってとりあえずここ二週間に変更のあったexeファイルを探してみたところ、怪しいexeが。winmed.exeとwinproxi.exeというものです。winproxy.exeというのは普通のファイルなんですが、winproxi.exeですね。ファイル名、勘違いしそうな雰囲気です。winmed.exeは、よくわからないまま削除しました。これはプロセスとして走っていなかったのですが、韓国語のwebで紹介されているだけのファイルなので、いらんだろう、と(^^;。問題は、winproxi。これはしっかり走っていました。そして、このファイルが、?????.exeと全く同じサイズ、見た目も同じプロパティだったのですね。
ちなみに、この?????.exeがどこからやってきたか。良く知らないページが表示されていました。
http://kytec.com/uploads/files/?????.exe
というものが怪しいらしい。ここは、どうやら画像などの掲示板をしているところのよう。どこかで、このパスが埋め込まれていて、それを踏んでしまったのか?WORMだから、なんらかの攻撃を受けたのかわかりません。ただ、InternetTemporaryFilesで、このPathが載っていたので、WORMがDLをさせていたんだと思います。
最後に、こういう、ワームって結構、いろんな人のパソコンに入っていたりするんだと思います。Virus対策ソフトを入れていなかったりして、判明していない場合も多くあるんだと思います。ワームとしてのファイル名と、表に見えるファイル名とは違っていて当たり前。悟られないような名前になっていたりするものだと思います。
今回は、winproxi.exeでしたが、過去、tisy.exeというのも出てきました。他にも、svhostなんたら、とか、よくわからない名前が出ていましたしね。ウィルスソフトは、名前で見ているのではなくて、ワーム活動の内容を見て、警告を発しているわけですから。ひょっとしたら、どこかにいらっしゃる同様の経験をされている方の参考になれば、と投稿しました。
