Mal_Otorun2対処で苦労

弊社のお客さんでも各種ウィルスがかなり流行している。

　

感染を多く広げているのはセキュリティ対策をしていない方。

　

　「ウィルス対策？いらないよ。
　　だって、インターネットに繋げないから大丈夫！」

　

このような方が、ＵＳＢメモリ（厳密にはリムーバブルディスク全般）を媒介に感染を広げるウィルスの温床になっている。

　

他にもこんな方もいる。
　「大丈夫！無料のウィルス対策ソフトいれてあるから！
　　なんか雑誌にもよくでてる名前の奴だし」

　

無料のウィルス対策ソフトはあくまでも「ウィルス対策ソフト」。
ウィルスと一部スパイウェアにしか対抗できない。
パーソナルファイアウォール機能なども無い。
なのでフィッシング詐欺サイトや偽セキュリティ対策ソフトにはたいした効果はないのだ。
複合した技術で感染を行うウィルスも防御できないこともある。

　

現代は”ウィルス”はコンピュータ被害の一部でしかないことがわかっていない方も多い。

そんな昨日、お客さんから厄介な依頼が来た。
ＵＳＢメモリ経由で感染した「Mal_Otorun2」だ。

　

　 　

　

幸いにもウイルスバスター２００９が二次被害は食い止めてくれていた。
しかし、駆除（ウィルスバスターの動作としては隔離）が頻繁に繰り返されても一向に完全に消えない。
ローカルディスク：Ｃ、Ｄのルートに頻繁にAutorun.Infが作成され続ける。

　

こりゃ根本対処には時間がかかるな。
パソコンをお預かりし、じっくり調べることに。

今回のパソコン環境はこの通り
・ＯＳ：WindowsXP Professional SP3
・セキュリティホール対策：Microsoft Updateを2008/12分まで。
・ウイルスバスター２００９：日々のアップデートは自動成功

　

　

対処開始

　

まずウィルスバスター２００９でフルスキャンをかけさせる。
Mal_Otorun2と、それが作成＆インターネットから呼び込んだと思われるウィルス類が多数でてきた。
　検出名
　　・Mal_Otorun2
　　・TSPY_GAMEOL.DG
　　・TSPY_ONLINEG.JZE
　　・TSPY_ONLINEG.JZF
　　・TSPY_ONLINEG.LSZ
　　・WORM_ONLINEG.JDB
この６種が４０ほどのファイルから検出された。
全て「隔離されました」にはなっているが、なんとなく長年の勘というか、しっくりこない。

　

Ｄドライブのルートフォルダを開く。
想定していたとおり、怪しいファイルは"見えない"。
メニューバーで「表示」－「ステータスバー」を行い、ウィンド下部にファイル数が見えるようにする。
メニューバーで「ツール」－「フォルダ オプション」
表示タグにて、
　・すべてのファイルとフォルダを表示する　：　Ｏｎ
　・保護されたオペレーティングシステムファイルを表示しない：Ｏｆｆ
これを［適用］してみる。

　

しかし、Ｄドライブのルートフォルダ内に変化は無く、本来見えるようになるはずの隠し属性ファイルやシステムファイルが現れない。
それなのに、下部のステータスバーには非表示ファイル数５と表示されている。

　

メニューバーで「ツール」－「フォルダ オプション」表示タグを再確認。
・すべてのファイルとフォルダを表示する　：　Ｏｆｆ
何度Ｏｎにしても、Ｏｆｆになる。
あーー、こりゃウィルスが見つからないように設定を書き換えているな。

　

ということはウィルスとして認識されない常駐プログラムがあるはずだ。

　

「Msconfig」でスタートアップを調べると、なんとなく気にかかる実行プログラムが登録されていた。
　 　
[ierdfgh.exe]？なんだこりゃ？
ｄｆｇｈなんて続くファイル名、いかにも適当に考えた名前っぽい。
　（自分のキーボードを見てください。納得いただけます。）

　

[ierdfgh.exe]で検索してみたら、やはりウィルスにより作成された自動常駐プログラム。
スタートアップ項目をＯｆｆにし、自動実行できないようにする。
　 　
このファイルを検索して、見つかったものを削除する。

　

Ｗｅｂで調べた情報をもとに関連しそうな常駐ファイル名を検索。
幸い他にはいないようだ。

　

再起動し、ウィルスバスタ－でフルチェック。
ＯＳのシステム復元の為に退避されたフォルダから多数検出。
あー、やっぱり。

　

システムの復元にて、
・すべてのドライブのシステム復元を無効にする　：　Ｏｎ

　

ウィルスバスタ－でフルチェック。
駆除成功。

　

これでやっと新たな検出はなくなった。

　

－－－－－

　

さて、「すべてのファイルとフォルダを表示する」がＯｎにならない問題対処だ。

　

レジストリエディタで下記３項目を全て「１」にする。

　

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\”CheckedValue”

　

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\”Hidden”

　

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\”ShowSuperHidden”

　

解決できた。

　

－－－－－

　

セキュリティホール解決もする。
Microsoft Updateで本日可能なセキュリティパッチを全て適用する。

　

システムの復元も有効にしよう。
・すべてのドライブのシステム復元を無効にする　：　Ｏｆｆ

　

－－－－－

　

この時点で念のため、ウィルスバスターでフルチェック
・問題なし。

　

ウィルスバスターのログを再確認。

　

不正変更の監視ログを見ると、
３日前「C:\WINDOWS\system32\ierdfgh.exe」が実行されることに対し、「許可」をした記録が残っている。
ああ、お客さんはここで誤った道に更に突き進んだのかと納得する。

　

－－－－－

　

どうやら今回のウィルス感染は、３つの問題があったうようだ。

　

１．セキュリティホール対策が不十分だった。
　　今年２月以降のWindowsUpdateが行われていなかった。
　　特に下記が適用されていなかったことが致命的だったと思われる。

　

　　セキュリティ アドバイザリ (967940)
　　Windows Autorun (自動実行) 用の更新プログラム
　　http://www.microsoft.com/japan/technet/security/advisory/967940.mspx

　

２．ウィルスバスターの警告を人間が活かさなかった。
　　せっかくが不正変更監視で
　　　「C:\WINDOWS\system32\ierdfgh.exe」
　　の実行を警告したのに「許可」していた。

　

３．ウィルスチェックされていないＵＳＢメモリウィルスを装着。
　　これは根本的に致命的である。

　

－－－－－－－－－－－－－

　

今回の対処ではトレンドマイクロ以外にも、下記サイトの情報が非常に助かりました。
お礼申し上げます。

　

パソコントラブル出張修理・サポート日記
http://orbit.cocolog-nifty.com/supportdiary/2009/02/usbierdfghexe-m.html

　

Ｙａｈｏｏ知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1319027778