USBメモリから感染!!
これはウチのメンテ用パソコンでの話。
この日もあちこち作業をして帰ってきて、以前USBメモリに入れていたデータを使おうと、メンテ用として常時持ち歩いているUSBメモリを、作業場のメンテ用パソコンにプッスリ。
しばらくすると、
ウイルスの処理について
ウイルスを検知しましたが処理しました。ご安心下さい。
ファイル:GameSetup.exe
フォルダ:G:
ウイルス名:Trojan-Downloader.Win32.Delf.bga
活動:ファイルは隔離されました
∑( ̄□ ̄;;;;;
…え、ええぇっ!!!!
「ご安心下さい」って…安心でけへんっちゅーねん!!
前日の晩はなんともなかったから、この日のお客さんのところで突っ込まれたな…。
もう一本持ち歩いているUSBメモリも突っ込んだ記憶があるので、今度はウイルスバスター2008の入っているメンテ用パソコンにプッスリ。
ウイルスが見つかったため、自動処理しました
感染ファイルを隔離しました。ご安心ください。下のボタンをクリックすると、隔離されたファイルを確認できます。
ファイル名:H:\GameSetup.exe
名前:TROJ_DELF.FUE
実行した処理:感染ファイルを隔離フォルダに移動済み
( ̄△ ̄;
や、やっぱり…
これが噂の「USBメモリ感染タイプ」のウイルスか?
同業者のpts.さんのところででも、
次から次へと、 :パソコンのサポートやってます。
似たようなものにやられた話を読みましたが、自分のところにも降りかかってくるとは思いもしませんでした。
確か、これを使ったのは、とある設定でお伺いしたあのお客さんのところだけだったけど、きっちり期限切れノートンが放置されていたなぁ…どんだけ期限切れやねん…。
期限切れノートンはシステムの足を引っ張る以外に何の役にも立たない
ということが改めて実証された形なんですが…。
とにかくこのウイルスに関して調べてみることにしました。
-------
このウイルス、どんなものかといいますと…
USBメモリで広まるウイルスへの対策 | セキュリティ情報 : トレンドマイクロ
要するに、USBメモリ(リムーバブルディスク)やCD-ROMには、「autorun.inf」という自動実行ファイルを置くことにより、任意のファイルを自動的に起動することができるようになっています。
今回のは、GameSetup.exeという実行ファイル。
ウイルス名は「Trojan-Downloader.Win32.Delf.bga(ウイルスセキュリティ)」「TROJ_DELF.FUE(ウイルスバスター)」。
TROJ_DELF.FUE - 概 要 :トレンドマイクロ ウイルスデータベース
特 徴:
これは一般的に「トロイの木馬」に分類される不正プログラムです。この不正プログラムは、他のプログラムに感染したり、他のコンピュータに頒布することはありません。
…( ̄△ ̄;
きっちり感染しましたけど…。
昨今はデータ移動にUSBメモリを使うことが当たり前のようになってしまい、気軽に使っています。
単純な話、リムーバブルディスクに、ウイルスの実行ファイルとそれを起動する「autorun.inf」を入れるように仕組んでおけば、人間にほとんど気付かれることなくあちこちにウイルスを運ばせることができます。USBメモリそのものにウイルスをはじく仕組みは、基本的にはないからです。そういう仕組みを作れなくはないのですが、つなぐパソコンの環境に依存するので、ファイヤーウォール並みにはなりません。
これが自分のUSBメモリに感染してたなんて…もうホント、血の気が引くのを感じました。
他のお客さんのところで使う前に気がついて、ホントによかった…。
現状では、USBメモリを使う直前・直後に、メンテ用パソコンでチェックしておく以外にありません。
あとは、USBメモリにあらかじめ「autorun.inf」ファイルを、容量0バイトのダミーででも作成しておき、「読み取り専用」属性をつけておけば、お守り程度にはなりそうです。
単に上書きコピーしかしないウイルスならいいんですが、強制削除で置き換えるタイプでは屁のツッパリにもなりません。ないよりマシ、という感じでしょうか。
このタイプのウイルスは、去年の秋ごろからかなり出回り始めているようですので、USBメモリを常用している人は、そろそろ対策を考えておいた方がいいと思います。
自分が使っていたら人に感染させますし、人のUSBメモリを安直に入れると感染させられる羽目にもなりますし、拾ったUSBメモリなんて、危なっかしくて自分のパソコンになんて突っ込めません。
とにかく、最新のパターンファイルが入手できるウイルス対策ソフトをきちんとインストールしておくことです。
これが素人でもできる、簡単かつ確実な予防策といえます。
ちなみに、人気blogランキング参加中です。 よろしくお願いします。
2008年05月19日(月) 定番トラブル, ウィルス・スパイウェア関連, ソフトウェア不具合関連, ソフトウェア不具合関連(セキュリティホール), パソコントラブル, パソコン・インターネット, 基本操作・便利技関連, 日記・コラム・つぶやき | 固定リンク
「 定番トラブル」カテゴリの記事
- PM-800Cの説明書。(2009.12.10)
- 「初心者です」は、回答者をイラつかせるマジックワード。(2009.12.05)
- DELLサポートのお客様対応。(2009.12.03)
- Windows Live メールでドコモ・auに送信できない。(2009.12.02)
- Windows7パソコンが勝手に電源が入る(起動する)?(2009.12.01)
「ウィルス・スパイウェア関連」カテゴリの記事
- IEが起動できません。(2009.11.23)
- Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。の対処をした後は…。(2009.11.21)
- Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。はNortonが入っていても…。(2009.11.19)
- Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。がVistaでも。(2009.11.17)
- Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。が古いパソコンでも…。(2009.11.15)
「ソフトウェア不具合関連」カテゴリの記事
- Windows7にプリンタをつなぐと…。(2009.12.07)
- Windows Live メールでドコモ・auに送信できない。(2009.12.02)
- IEが起動できません。(2009.11.23)
- Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。の対処をした後は…。(2009.11.21)
- KB946648がインストールできない。(2009.11.22)
「ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事
- IEが起動できません。(2009.11.23)
- Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。の対処をした後は…。(2009.11.21)
- Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。はNortonが入っていても…。(2009.11.19)
- Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。が古いパソコンでも…。(2009.11.15)
- プリンタは接続したはずなのに…。(2009.11.03)
「パソコントラブル」カテゴリの記事
- PM-800Cの説明書。(2009.12.10)
- Windows7にプリンタをつなぐと…。(2009.12.07)
- 「初心者です」は、回答者をイラつかせるマジックワード。(2009.12.05)
- DELLサポートのお客様対応。(2009.12.03)
- Windows Live メールでドコモ・auに送信できない。(2009.12.02)
「パソコン・インターネット」カテゴリの記事
- PM-800Cの説明書。(2009.12.10)
- Windows7にプリンタをつなぐと…。(2009.12.07)
- 「こっち見んな!」と言いたくなるペーパークラフト。(2009.12.09)
- 「初心者です」は、回答者をイラつかせるマジックワード。(2009.12.05)
- DELLサポートのお客様対応。(2009.12.03)
「基本操作・便利技関連」カテゴリの記事
- 「こっち見んな!」と言いたくなるペーパークラフト。(2009.12.09)
- 「初心者です」は、回答者をイラつかせるマジックワード。(2009.12.05)
- Windows7パソコンが勝手に電源が入る(起動する)?(2009.12.01)
- Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。がVistaでも。(2009.11.17)
- Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。が古いパソコンでも…。(2009.11.15)
「日記・コラム・つぶやき」カテゴリの記事
- PM-800Cの説明書。(2009.12.10)
- Windows7にプリンタをつなぐと…。(2009.12.07)
- 「こっち見んな!」と言いたくなるペーパークラフト。(2009.12.09)
- 「初心者です」は、回答者をイラつかせるマジックワード。(2009.12.05)
- DELLサポートのお客様対応。(2009.12.03)
トラックバック
この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/41264294/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。
※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。
※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
※この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。
この記事へのトラックバック一覧です: USBメモリから感染!!:
» USBメモリーからウィルス感染 トラックバック 若葉パソコン倶楽部
最近コメントを頂いた「ささもと」さんのサイトに
パソコントラブル出張修理・サポート日記: USBメモリから感染!!
http://orbit.cocolog-nifty.com/supportdiary/2008/05/usb_4029.html#more
もちろんウィルスに感染しているパソコンから感染したわけですが、セキュリティーソフトを設定していない人からUSBメモリー経由でのファイルコピーは厳禁です。
セキュリティーソフトの重要性を認識していない人、まだまだいます。気軽にコピーを受け取ら... 続きを読む
受信: 2008/05/21 12:14:32
» USBメモリ感染ウイルス(( _ )) トラックバック Active Non-Action 2.0
( *・ω・)ノ昨日はAVGの誤検出に惑わされた一日でしたが、そもそも当社でフリ 続きを読む
受信: 2008/07/02 15:35:24
コメント
現在この問題に直面しております。家内の勤め先で蔓延しています。先日”ちょっと見て”といわれ、行ってきましたが、その際使った私のUSBメモリにもキッチリ感染していました。ファイル等を開くときダブルクリックをすると活動するらしいです。駆除の詳細は
http://sturnus.net/mt/2008/01/kavo-mmvo-1.html
ご参考まで
投稿: jugemu | 2008/05/21 9:17:19
USBメモリ挿入時にはSHIFTキーを押したままにすることで、「autorun.inf」が無効化されるそうですよ。
投稿: return | 2008/05/21 12:36:33
窓の手とか使って自動実行を全て禁止しておくってのも手ですか。
投稿: たこさん | 2008/05/21 16:57:55
お邪魔します、コメントありがとうございましたpts.でございます。
私が対応したのが2週間ほど前ですから、もうウイルス対策ソフトでも随分対応しているんでしょうね。私の場合はウイルス本体の侵入はNOD32が防いでくれましたが、autorun.infの作成は止めることができなかったので、コマンドプロンプトを使ってひとつずつファイルを削除する羽目になりました。
こいつのヤなところは、自分にウイルスを送り込んだ相手が身近にいることと、気がついたら部署やグループ丸ごとやられていたなんてことになりがちなことですね。亜種がたくさんできないことを祈るばかりです。
投稿: pts. | 2008/05/21 17:04:38
jugemu さん
情報ありがとうございました。
このタイプのはかなり亜種が出回っているようです。
今回のも、トレンドマイクロは「トロイの木馬」とか言ってますが、きっちりワームでしたし、今後も同じ削除方法でいけるかどうかは…参考にはさせていただきます。
return さん、たこさん さん
ご意見ありがとうございました。
Shiftキーは知っていればそれなりですが、「窓の手」は一般向きじゃないですよね…。
ただ、どちらも「USBメモリからの感染」は抑えられても、「USBメモリへの感染」は防げません。
結局は定期的なスキャンが必要、ということなんでしょうね。それすら完璧だとはなかなか言いがたいのですが…。
pts. さん
いつもどうも。
ウイルスもワーム型が主流になって以後、「ウイルスは何もしなくても勝手に入ってくるもの」みたいな風潮がありましたが、やはり「人が運んでくることもある」という危険性を再認識させられました。
ただ、この場合は、感染被害よりは、気付かず「運び屋」にされた人の社会的立場が脅かされることになる被害が大きいです…。
投稿: ささもと | 2008/05/22 8:18:41
USBに適当なアイコン「hoge.ico」と
[Autorun]
icon=hoge.ico
と書いた「autorun.inf」を入れとけば、いつもはUSBメモリのアイコンがhoge.icoになるので
autorun.inf改変の目安にならないですかね。
お仕事柄、これからも危ないPCにUSBメモリを使うことになるでしょうし。
---ここから記事と関係ない話なので掲載しないでいいと思いますが
このサイトの本の広告、nifty.bk1.co.jpのサービス終了してます。
投稿: くろねこ | 2008/06/02 1:08:05
同業者です。
USB目メモリを指定したアイコンに変えていたので元々autorun.infを読み取り専用としておいてありましたが書き換えられてしまいました。
autorun.infの内容を見て実行されようとするファイルと同じ名前のファイルを作り置いておいた方が良さそうです。
この方法でautorun.infは書き換えられてしまいましたが、ウィルスには感染しませんでした。
また、Dドライブへも感染します。
Dドライブへデータをバックアップしリカバリをして戻そうとして開くと感染してしまいます。私は、やられてしまい2回リカバリをしなければなりませんでした。
投稿: lune@sakura | 2008/06/02 11:33:45
くろねこ さん
改変が「丸ごと置き換え」であればそれも有効ですが、「追加書き換え」であれば、あまり目安にはなりそうにないという気もします。
記事にも書いたとおり、「お守り程度」でしょうね…。
本の広告の件、自分ではクリックしていなかったので気付いていませんでした。
そういえば、「夢をかなえるゾウ」の追加の際、アマゾンのリンクになっていて「あれ?」とは思ったんですが…。
ご指摘ありがとうございました。
時間をみて修正しておきます。
lune@sakura さん
やっぱり書き換えられましたか…。
ウイルスの実行ファイルはいろいろ違う名前になっているようですし、autorun.inf同様、今後は問答無用で上書きされるかもしれないでしょうから、あまり対策になるかどうか…。
こうなると、USBメモリ全体を暗号化ドライブにしておくしかないのかもしれませんね。
http://www2.elecom.co.jp/data-media/usb-flash/index.html
>Dドライブへデータをバックアップしリカバリをして戻そうとして開くと感染してしまいます。私は、やられてしまい2回リカバリをしなければなりませんでした。
なるほど、Dドライブのデータを残してリカバリの場合は、そういうこともあるんですね…参考になります。ありがとうございました。
投稿: ささもと | 2008/06/02 21:52:17
遅レスですが・・・
USBメモリもそうですが、それに加えてiPodなどの携帯音楽プレイヤーをUSB接続することが多くなったのでこういったウイルスが流行ったという背景があるみたいですね
投稿: SHU | 2008/06/16 15:24:04
さらに遅レスですが・・・
「Autorun.infフォルダ」を作って予防できるそうです。
http://www.iwate-u.ac.jp/isic/news/news_usbmedia.html
まだ流行っているみたいなので。
投稿: くろねこ | 2008/08/11 0:02:52