| USBメモリなどに感染するウイルスに遭遇しました。 トレンドマイクロ社などで「WORM_ONLINEG.VQZ」と表記されるウイルスです。 対策方法を覚え書きとして残しておきますので、必要な方は、参考にして下さい。 1)ウイルスが活動している場合、こんな症状があります。このウイルスは、自分を「隠しファイル」にして潜んでいます。そのため、エクスプローラのフォルダオプションで「すべてのファイルとフォルダを表示する」を選択しておけば発見される筈です。  しかし、それを隠すために、この設定を変更できないようにレジストリを改変します。 具体的には「隠しファイルおよび隠しフォルダを表示しない」に設定変更してしまう訳ですが、これを手動で「すべての…」に変更しても、次にプロパティ画面 を開いた時には「隠しファイルおよび…」に変わってしまっています。 「次にプロパティ画面を開いた時」というのは、設定後「OK」をクリックした直後に、再び開く、というタイミングで既に「隠しファイルおよび…」の方に、 チェック印が移動しているほどのレスポンスです。 つまり、このウイルスに感染しているか否かは、
という事で分ります。 特に2に該当する場合、高確率で感染しています。 次に確認するのはレジストリです。 レジストリエディタ(regedit)で、次のキーの値を確認します。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
この中に、「mmva」などという項目があれば確実です。 具体的には、以下のエントリーが存在したら、ウイルス感染していることになります。 mmva = "★\mmvo.exe"
尚、★印の部分は、Windowsのシステムフォルダを表します。 Windows2000なら、「c:\winnt\system32」、 WindowsXPは「c:\windows\system32」 に、Windows98/Meは「c:\windows\system」 です。 また、亜種によっては「mmv」以降の文字列が異なるケースもあるようです。 ひとまず、感染が分った時点で、使用中のUSBメモリは絶対に使わないようにして、抜いて置いて下さい。 そして、次の手順で対策を行います。 2)対応ステップ1:自動起動するウイルスを無効にする開いているレジストリエディタを使って、先ほど確認した「mmva=…」という項目を削除します。これを削除する事で、次回起動時にウイルスを起動しなくなります。 項目を削除したら、直ちに「シャットダウン」を行って下さい。 この際、「再起動」を使わず、一旦、電源を切って下さい。 すべてのケースで同じことが言えますが、電源を切らないで再起動すると、無駄にファイルなどがキャッシュされているケースがあって、変更した情報が適用さ れない場合があります。 電源が切れたら、5秒ほど待って再び電源を投入します。 3)対応ステップ2:改変されたレジストリの修復起動後、数分待ってから、再びレジストリエディタを起動します。そして「mmva=」という項目が復活していないか確認して下さい。 復活している場合、どこかにウイルスが潜んでいます。その他の自動起動項目に不審なファイルがないか確認して下さい。 「mmva=」のエントリーがなくなっていたら、改変された次の項目を修正します。 場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced
値(改変さ
れた値):Hidden = "dword:00000002"
値(この値に修正):Hidden = "dword:00000001" 場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Advanced 値(改変さ
れた値):ShowSuperHidden = "dword:00000000"
値(この値に修正):ShowSuperHidden = "dword:00000001" 場所:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 値(改変された値):CheckedValue = "dword:00000000"
値(この値に修正):CheckedValue = "dword:00000001" 値を修正したら、レジストリエディタを閉じて、再びシャットダウンします。 このウイルスを駆除するだけなら、本来は必要のないシャットダウンですが、念のためシャットダウンして下さい。 そして、先ほどと同様、電源が切れたら、5秒ほど待って再び電源を投入します。 4)対応ステップ3:ウイルス沈黙の確認起動後、レジストリエディタを起動し、対応ステップ1、2で行った対策がキチンと反映されているか確認して下さい。無事に反映されていたら、エクスプローラを起動して、フォルダオプションを確認します。 この時点で選択が「すべてのファイルとフォルダを表示する」に変更されているはずです。 変更されたのを確認したら、一度、「OK」をクリックしてその画面を閉じ、再び、フォルダオプションを確認して下さい。 ウイルスが活動していなければ、「すべての…」のままになっています。これで、完全にウイルスは沈黙しました。 5)対応ステップ4:ウイルスファイルの駆除 1ウイルスファイルは、USBメモリだけでなく、存在するドライブすべてにウイルスを書き込みます。Cドライブも例外ではありませんので、まずはCドライブに残っているウイルスファイルを削除します。 肝心な事は、この時点でウイルスを稼動させる「autorun.inf」が隠しファイルとして存在している事と、それによって「自動起動」が有効になって いる点です。 従って、「マイコンピュータ」などから、Cドライブをダブルクリックすると「自動起動」が適用され、再びウイルスを感染させてしまいます。 ファイルを削除するまで、絶対にエクスプローラなどでCドライブなどを開かない事が重要です。 コマンドプロンプトを利用します。 手っ取り早い方法は「ファイル名を指定して実行」で「cmd」と入力する事です。  これで、コマンドプロンプトが開きます。 まず、隠しファイルが存在するか否かを確認します。 コマンドプロンプトで次のコマンドを入力して確認します。 (コマンドプロンプトでは大文字、小文字は区別しません。DOSを使ったことがない人が多いのでこんな説明も入れなきゃならんのですね) DIR C:\ /AH
これで、隠しファイルの一覧が表示されます。 その中に、次のファイルがあれば、それがウイルス本体です。 9rhtx.bat
また、本来ならCドライブに不要な「autorun.inf」が、それも隠しファイルで存在している事も分ります。 autorun.inf
これら2つのファイルは「隠しファイル属性」で「システムファイル属性」で「読取専用属性」という3つの属性がかけられています。 実に巧妙ですが、それらの属性を次のコマンドで解除します。 attrib
-h -s -r c:\9rhtx.bat
attrib -h -s -r c:\autorun.inf これで、属性が解除されますので、続けて、次のコマンドで削除します。 DEL
c:\9rhtx.bat
DEL c:\autorun.inf 使っているパソコンにDドライブやEドライブなど、他のドライブが存在する場合、対策の「C:\」の部分を「D:\」や「E:\」に置き換えて、すべての フォルダでウイルス関連のファイルを削除して下さい。 6)対応ステップ5:ウイルスファイルの駆除2続いて、システムフォルダに残っているウイルスの母体の駆除を行います。同じく、コマンドプロンプトから次のコマンドで、ウイルスファイルの確認を行います。 DIR c:\windows\system32\mmv*.* /AH
(Windows98/Meなら、c:\windows\system\mmv*.*、 Windows2000は、c:\winnt\system32\mmv*.* になります。) ウイルスファイルは「mmv某」というファイル名で、システムフォルダ内に残っています。 ウイルスが存在すれば、大抵の場合2つのファイルが見つかる筈です。 (それ以上ある場合は、システム上、必要なファイルである可能性があります。その際は、本当に不要か否か判断してから削除して下さい。) 対応ステップ4と同様、これらのファイルは見えないようにされていますので、attribコマンドで属性を解除します。 attrib -h -s
-r c:\windows\system32\mmv*.*
これで、解除されましたので、ファイルを削除します。 DEL
C:\windows\system32\mmv*.*
これで、ウイルスの母体も削除されました。 念には念を入れ、ここまで対策した時点で、シャットダウン→再起動を行って、活動の有無を確認して下さい。 7)対応ステップ6:USBメモリなどリムーバブルメディ アからの削除感染したUSBメモリにも、他のドライブと同様に「9rhtx.bat」と「autorun.inf」が隠し属性で書き込まれています。ただ、厄介なのは、USBメモリを接続した時点で、感染する恐れがある、という事です。 特に、自動再生を有効にしていなくても、何らかの操作で感染する怖れがありますので、USBメモリは「Shiftキー を押しながら」接続して下さい。 Shiftキーは、USBメモリを接続した後、しばらく、押しっぱなしにして下さい。 大抵の場合、LEDランプなどが激しく点滅しますが、点滅が収まった頃、Shiftキーを離します。 そして、感染していると思われるUSBメモリを接続したら、そのドライブを確認します。 しかし、ここでエクスプローラやマイコンピュータを開いてしまうと「自動起動」の餌食になる可能性が非常に高いです。 従って、今までの対応と同様にコマンドプロンプトを使いましょう。 ほとんどの場合、ドライブ名は本体に使われているドライブ名の次のアルファベットが割り当てられます。 パソコン本体に「Cドライブ」「Dドライブ」がある場合、接続したUSBメモリは「Eドライブ」になりますが、CD/DVDドライブなどがついていれば、 そちらが「Eドライブ」になっている筈ですので、USBメモリは「Fドライブ」になります。 「確か、このコンピュータだと、USBメモリはEドライブだよなぁ」という場合、あえて次のように入力してみましょう。 E:
仮に、Eドライブが存在しなければ 指
定されたドライブが見つかりません。
というメッセージが表示されます。 また、 デ
バイスの準備ができていません。
と表示されれば、EドライブはCD-ROMなどの入っていないCD/DVDドライブという事になります。 とりあえず、説明上はUSBメモリが「Eドライブ」であると仮定すると、隠しファイルになっているウイルスを駆除するのは、今まで同様の手順で次のように 入力して、属性を解除し削除します。 attrib
-h -s -r e:\9rhtx.bat
attrib -h -s -r e:\autorun.inf DEL e:\9rhtx.bat DEL e:\autorun.inf これで、USBメモリ上のウイルスも駆除されました。 そして、この時点で、再び再起動を行います。Windowsのキャッシュに、自動起動の情報が残っている場合があるからです。 もちろん、ウイルス本体「9rhtx.bat」は削除済みなので、起動させることは出来ませんが、少々、気持ち悪いので再起動させるのが無難です。 8)最終確認以上で、対策はすべて終了です。最後の仕上げとして、感染していたと思われるUSBメモリをパソコンに接続しましょう。 接続した後、一番最初に確認したフォルダオプションの挙動を再確認します。 キチンと手動で「すべてのファイルとフォルダを表示する」が選択できて、一度閉じた後も、設定が勝手に変わらなければ駆除は完了です。 ただし、WindowsXPなどで「復元ポイント」を有効にしている場合は、それらを無効にします。 ウイルスを含んだままの過去の設定が残っている可能性がありますので、一旦、無効にして、削除して下さい。 一度削除した後は、必要に応じて有効にして下さい。 また、ウイルス駆除ソフトを導入している場合「uu.exe」か、それに類する名前のウイルスファイルが駆除され る場合がありますが、これは単体で駆除されるファイルなので、あまり気にしなくても構いません。 エクスプローラのプレビュー機能によって、インターネットエクスプローラの一時フォルダから検出される場合もありますが、これも駆除される存在なので、気 にしつつも、そういうモノだと思ってください。 分ってしまえば、駆除方法は単純作業ですが、わかるまでが結構大変なウイルスとの闘い。 また、駆除中も、ちょっとした不注意で再び感染させてしまう事もしばしばで、例えるならば、静電気だらけの両手を使って、ホコリの粒を除去するような作業 に似ています。単純にイライラします。 ひとまず、私と同じシステム管理者の皆様にとって、この手順が参考になれば幸いです。 2009.03.16 追記 これらのウイルス、もしくは亜種などが吐き出すファイルには、以下のようなものもあるようです。 eipctcc.bat
fudtnmje.bat これらのファイルもattribコマンドで、属性を解除して削除する、という基本的な手順で削除する事が出来ます。 |