ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« 安直なリカバリのツケは高かった。 | トップページ | 室井さん!PS3が エラーコード 8002A535 でサインインできません! »

2009年1月25日 (日)

Downadup (Conficker) の猛威の裏付け。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

こちらは前記事からの続き。

お客様がメーカーサポートにそそのかされてリカバリ、出荷時のSP1にしたのはいいが、セキュリティ修正もせずにいきなりPPPoE接続でインターネット接続したがために、ウイルスに感染してしまったお客様宅の作業から帰還して、ホッと一息ついた後に、その恐怖が私を襲った。

自宅のメンテ用PCに、客先で使ったUSBメモリを突っ込んだら…。

Downad03

…ん?
見慣れたダイアログのようだけど、なんかおかしい。
なんか違和感がある。
一体何が…。

ああっ!!! そうか、これだっ!!

-----

Downad031

そう、「フォルダを開いてファイルを表示する」は、こんな一番初めに来ないんだ!

Downad04

こんな具合に、最後の方に、しかも

「デバイスで提供されたプログラム使用」

じゃなく、

「エクスプローラ使用」

のはずなんだっ!!!
ということは、まさか…。

ウイルスバスターを入れてるし、持ち出しをしないメンテ用のパソコンだから、いっちょだまされたつもりで「デバイスで提供されたプログラム使用」の方をクリックしてみよう(よい子はゼッタイまねしちゃダメだよ!)

Downad05

…∑( ̄□ ̄;
はぅあぁっ!!! や、やっぱりっっっ!!!

でも、ログを見たところ、入り込んだウイルスは駆除したものの、USBメモリ内のautorun.inf自体は、どうも駆除されていないようだ。
んじゃ、ウイルスセキュリティZEROのインストールされている別のメンテ用パソコンに突っ込んでみましょう。

Downad011

…( ̄△ ̄;
やっぱり出ますね…。

こっちもあえてクリック(よい子はゼッタイまねしちゃダメだよ!)

Downad06

RUNDLL
.\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx でエラーが発生しました。
エントリがありません: ahaezedrn

うーむむむ、ウイルスセキュリティZEROでは、反応して知らせてくれるのではなく、実行ファイルの動きを封じているようですね…。

USBメモリ内の感染状況は、

  • ドライブルートに
    • RECYCLER というフォルダ
      • S-5-3-42-2819952290-8240758988-879315005-3665 というフォルダ
        • jwgkvsq.vmx というファイル
    • autorun.inf というファイル

があるという状態。
それぞれ、読み取り専用属性とシステムファイル属性の付いた隠しファイル。

もし心配なUSBメモリがあったら、手動での確認・削除もできなくはないです。
※これは自己責任のもと直接ウイルスのファイルを操作するものですので、クリックでうっかり開かないような細心の注意が必要です。自信のない人はウイルス対策ソフトやプロに任せたほうが無難です。

  1. SHIFTキーを押したままPCに接続
  2. コンピュータ(XPならマイコンピュータ)を右クリックで「エクスプローラ(X)」
  3. アイコンのクリックではなく、左側のツリー表示から該当するリムーバブルディスクを[+]ボタンで開く
  4. 「ツール(T)」の「フォルダオプション(O)」「表示」タブから「全てのファイルとフォルダを表示する」をチェックし、「保護されたオペレーティングシステムファイルを表示しない」のチェックを外してシステムファイルを表示させる
  5. さらに該当ファイル・フォルダを右クリックしてプロパティから「読み取り専用」のチェックを外す
これで該当ファイル・フォルダを削除すれば、USBメモリ自体の感染は駆除できます。
※繰り返しますが、これは自己責任の作業です。自信のない人はウイルス対策ソフトやプロに任せたほうが無難です。

念のため、トレンドマイクロのサイトで配布している「WORM_DOWNADウイルス専用駆除ツール」を使ってみました。
※古い機種やファイルの多いパソコンでは、かなり時間がかかります。それなりに心して実行しましょう。

  • ウイルスバスター2008インストールのパソコン(XP SP3):「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
    Services\vngka」のレジストリエントリを削除、「C:\DOWNAD.INI」を削除。
  • ウイルスセキュリティZEROインストールのパソコン(XP SP2):特に感染なし。ただし、MS06-048,MS06-058,MS07-015,MS-7-025のvulnerability(脆弱性)が見つかった(SP2なのでここは仕方ない部分か?)。
という結果でした…うーむむむむ、ウイルスバスター2008は、インストールされていても、クリックしてしまったらダメだという結果になりました。

ここで重要なのは、セキュリティ対策ソフトの性能をどうこう言うよりは、感染しないように用心することの方が重要だということ。
対策ソフトが入っているから、と安心していてはいけないですね。

とはいえ、自分だけが気をつければいいのかというと…。

WORM DOWNAD :家庭内単身赴任?オヤジの手酌日記

「人に勝手に使われて感染させられてしまう」というトホホな事態もあるわけで…企業でのこの手のUSBメモリの感染が減らないのがなぜかわかったような気がします。

それにしても、こうなってくるともうUSBメモリの autorun.inf は、セキュリティ上の観点から使えない、ということになってしまいますね。
USBメモリのドライブアイコンの書き換えとかで使っていましたが…。
となると…先日の記事で書いたU3メモリは「もう将来がない」ということになりかねないわけですが…。

それにしても、調べてみたら、

Conficker's autorun and social engineering (SANS ISC, 2009.01.15) :セキュリティホール memo 2009/01/20 20:00:00

こちらに書いてある英語のダイアログメッセージ「Open folder to view files」ではなかったのが気になりますね。
英語のメッセージだとクリックする率も減ると思われますが、アイコンが標準のフォルダアイコンですから、英語でも「うっかりクリック」は避けようがないでしょうね。
ましてや、今回のように日本語表示だと、ほとんどの人は引っかかります。
この記事の時点では、「すでに日本語対応になっている」ということが判明していなかったのでしょうか?

追記:2009/02/12

言及先を間違えました。申し訳ありません。
ダイアログ偽装の「USBウイルス」、「実行」を「表示」に見せかける Windowsの脆弱性悪用ウイルスの亜種、自動再生機能を悪用 :日経 IT Pro
メッセージが英語か日本語か云々に関しては、こちらですね。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2009年01月25日(日) 定番トラブル, ウィルス・スパイウェア関連, ウェブログ・ココログ関連, ソフトウェア不具合関連(セキュリティホール), パソコントラブル, パソコン・インターネット, 基本操作・便利技関連, 日記・コラム・つぶやき |

« 安直なリカバリのツケは高かった。 | トップページ | 室井さん!PS3が エラーコード 8002A535 でサインインできません! »

定番トラブル」カテゴリの記事

ウィルス・スパイウェア関連」カテゴリの記事

ウェブログ・ココログ関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

基本操作・便利技関連」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/43966941/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: Downadup (Conficker) の猛威の裏付け。:

» USBメモリにワームが潜む トラックバック tangram_pieces
ネットカフェで USB メモリに入れた Firefox を使ってネットを徘徊して 続きを読む

受信: 2009/09/26 14:13:11

コメント

初めまして。 このブログをいつも楽しく(?)拝見させて頂いております。
今回の記事、興味深く拝見させて頂きました。
自分もUSBメモリ経由で感染するウイルスを昨年 PC内からもUSBメモリ内からも削除しまくった経験があります。
デバイスで提供されたプログラム使用 なんてものが出てくるウイルスもあるのですね……
今後出会うか分かりませんが、今の内に手の内の一つを知れて良かったと思ってます。

前にこのブログのコメントかどこかにあったと思うのですが、
USBメモリにautorun.infという名前の「フォルダ」を制作すれば
普通のAutorunも使えなくなりますがUSBメモリへの感染は防げると思います。
(もうすでに知っていたり、今時のウイルスはフォルダでも突破するようでしたらすいません。)

あと自分はUSBメモリ差した時にウイルスが入っているのを確認した場合、
エクスプローラを触るのは怖いのでコマンドプロンプトから駆除しています。
(コマンドプロンプトを起動し、USBメモリのドライブに移動したら)
attrib autorun.inf -h -s -r
で隠し属性や読み取り専用属性を剥がして、
del autorun.inf
で削除してます。
ちなみに暇がある場合は削除前にコマンドプロンプトで
autorun.inf
と入力して中身をメモ帳で開き、内容を確認して検索の情報源としてます。

投稿: DORANEKO | 2009/02/06 15:14:29

既にある autorun.inf をリネームして、新たなファイルに書き換えるものが出回っています。
http://itpro.nikkeibp.co.jp/article/NEWS/20090106/322266/

難読化もされているものもあるようなので、さらに用心が必要に思います。
http://itpro.nikkeibp.co.jp/article/NEWS/20090108/322459/

どんどん進化しています。昨年の今頃、このウイルスは手法がオーソドックスなだけに一気には広まらないけど、流行るだろうなと予想していました。悪い予感が当たってしまいました。

投稿: ごはん | 2009/02/06 18:38:45

やはり、もう突破するようなものも出回っているのですね……
しかも難読化のも出ているのですか

確実なのはUSBを抜く前に、自分で作ったautorun.infフォルダが消えてたり
おかしくなっていないかを確認するぐらいしか方法は無いですかね……

危うく「autorun.infフォルダ作ったから大丈夫でしょ」 とか友人・家族に言うところでした。
自分の浅学非才を恥じるばかりです。今後も警戒は怠らないようにします。
ごはんさん ありがとうございました。

投稿: DORANEKO | 2009/02/06 19:31:48

ごはん さん
記事には書いてませんが、今回のautorun.infは、まさしくこの「難読化」されたものでした。59KBもあり、メモ帳で開いてもさっぱり意味不明でした。Linuxパソコンでテキストエディタで開こうとしても同じ。
まぁ、前回の記事でも書きましたけど、読み取り専用のautorun.infを置いてても上書きされるものもありましたので、それに対応していないウイルスに対するお守り程度にしかならないですね。
デフォルト書込み禁止で、VistaのUACみたいに強制的に許可を求めるタイプが出たらいいのかな。

DORANEKO さん
マスクしてても風邪ひくのと同じで、「これさえしてれば大丈夫!」がないのがパソコンのウイルスです。
未だに「パソコンは変なメールを開かなければウイルス感染しない」なんて言ってる人もいますしね…。

最近は、ストラップじゃなく「輪っか」でキーホルダーぐらい取り付けできるタイプのものも多く、ネームタグをつけて「事務所内専用」とか「客先専用」とか付けて、使い分けるようにしてます。
今時1GBぐらいだと1000円しませんし、使いやすそうなデザインを探して都度買ってますので、USBメモリがあちこちにゴロゴロしてます…。

投稿: ささもと | 2009/02/06 19:58:22

お疲れ様です。
いつも拝見させていただいております。
当方でもUSBメモリからパソコンへ同じウイルスに感染したお客様のところへパソコンを預かりに伺いました。
トレンドマイクロのオンラインスキャンや、マイクロソフトのOnecareなどを延々やって駆除できたと思ったら、どこかに別名で核が隠れてて完全駆除できませんでした。「Shift」キーを押しながらUSBを差しても即感染_| ̄|○
USBメモリは256MBのもらい物ということでしたので、BUFFALOの書き込み禁止スイッチが付いてるタイプをお勧めし、パソコンはリカバリをかけました。(元々動きが重かった)
あちこち駆除方法を調べ、その通りにやってみましたが、こればかりは完全駆除ができませんでした…。
ちなみにこのウイルスにやられたお客様は2ヶ月で4件対応しました。
内、2件は古いので買い換えるとのこと。
ウイルスセキュリティZEROだけでなく、ほとんどのセキュリティソフトでスルー状態のような感じです。(恐らく現時点で対応できてるのはCANONのESETくらいでしょうか?)
とりあえず当方でも書き込み禁止のUSB内にClamWin_Portable(フリーのセキュリティソフト)を入れて持ち歩いてますが、役に立つのかどうか…。
ブラスターの時を思い出させられます(^ ^;)ゞ

投稿: kei | 2009/02/11 2:21:42

初めまして。いつも読ませて頂いています。
この記事を数日前に読み、USBで感染するウイルスなんてあるだ〜程度にしか思ってなかったんですが、見事に家族の所有するパソコンに感染していました…(汗)
ウイルス対策ソフト入れてても、過信は禁物ですね!

投稿: けん | 2009/02/11 4:19:41

このご時世にオートラン有効のままなんだ、と感じたり

投稿: 名無し | 2009/02/12 2:11:15

こういう対策はいかがでしょうか?
USBメモリやSDカードのルートに0バイトのautorun.infを置き、
読み取り専用属性をつけておきます。
さらに、
このメモリを拾った方へ.txt
なるファイルに専用メールアドレスと薄謝進呈と書いておきます。
こちらも読み取り専用にしておきます。

投稿: たこさん | 2009/02/12 9:36:53

あと、PC自体の設定としてリムーバブルメディアの自動起動自体を停止する設定をしておきます。
レジストリを直接いじるのは面倒なのでTweakUIとか、いじくるつく~るとかいったツールを使います。

投稿: たこさん | 2009/02/12 9:49:19

kei さん
データなどを他のPCへ持っていく場合は、CD-Rを使うのが確実かもしれません。どうしてもUSBメモリを使うなら、書込み禁止スイッチのついているものを使う方がいいのでしょうね。
セキュリティ対策ソフトがあまり当てにならないのがつらいところです…。

けん さん
いくら気をつけても、感染してしまっている他人のPCにUSBメモリを突っ込んだら、もらってしまうのは避けられないですから、本当に厄介ですね。
結局は、USBメモリにAutorun.infを入れないでおいて、常々Autorun.infがあるかどうかをチェックする以外にないようですね…面倒だなぁ。

名無し さん
オートラン無効でUSBメモリ感染に気付かず、自分は感染してなくても他人に感染させた、なんてことのないようにお気を付けくださいね。
このウイルスの本当に怖いのはそこですから。
それに、オートラン無効・USBメモリを刺さないなら感染しない、というわけではありませんから…。

投稿: ささもと | 2009/02/12 10:33:17

たこさん さん
>USBメモリやSDカードのルートに0バイトのautorun.infを置き、
>読み取り専用属性をつけておきます。

これは関係なく上書きするウイルスが存在するので、上書きしないウイルスに対するお守り程度にしかなりません。
当然ながら、ないよりマシですが、書き換えられたかどうかの確認が難しくなります。

>このメモリを拾った方へ.txt
>なるファイルに専用メールアドレスと薄謝進呈と書いておきます。

おもしろいですが、「あんたのメモリでウイルス感染した。どーしてくれる」と言われそうな気がしないでもないですね…。

>あと、PC自体の設定としてリムーバブルメディアの自動起動自体を停止する設定をしておきます。

先にも書きましたが、USBメモリ自体の感染を防ぐことは難しいですので、気付かず他人に感染させるリスクは常にあります。
他人のPCでも、「Shiftを押しながら刺す」という対策も、よほど気をつけないと結局感染させてしまうこともありますから。
マイクロソフトが「リムーバブルディスクの自動起動機能」をセキュリティーホールとして認識しない限り、このリスクは常に付きまとうことになりますよね。
難しいところです。

投稿: ささもと | 2009/02/12 11:24:55

ネットワークドライブに autorun.inf があっても実行してしまう(検証済み)ので、USB メモリだけ気をつけていてもダメですよ。

レジストリ弄って autorun.inf 自体を無効化する手はあります。http://blog.lucanian.net/archives/51199862.html で紹介されているバッチファイルを使えば簡単です。この方法なら今後も大丈夫だと思いますが、でもやっぱり手間ですよね。

あとトレンドマイクロでこのウイルスを検出できなかった PC でフリーの Dr.Web CureIt! のフルスキャンで検出・駆除しました。一応、日本語化されてるので ClamWin Portable より分かりやすいです。

投稿: 通りすがり | 2009/02/12 12:25:51

大変参考になる記事ありがとうございました。
ウイルスバスター2008は「ウイルスファイルさえPC内にコピーされていなければ、レジストリや.iniファイルなどそれ自体だけでは動かない設定情報が書き込まれてても問題はないでしょ?」という設計思想なんですね。なるほど、興味深いです。個人的には、紛らわしいのでそういうのも改変させないで欲しいです。
またレジストリだけ改変されてウイルス本体が存在しない場合を感染と呼んでいいのか、正直よく分かりませんが…。

書き込み禁止スイッチ付きUSBメモリは確かに有効ですがUSBメモリはそもそも書き込んで使うものなので、データ書き込みの際はスイッチをOFFにしますよね。そのまま相手先に「スイッチを入れ忘れた」状態で持っていくという人為ミスが起こらないとも限りません。

またCD-Rを使うのは良案ですが、こちらは使い捨てメディアなので使用頻度や運用期間によってはランニングコストも考慮が必要です。

別の案として、少し値が張りますがUSBメモリを接続した時点でウイルスバスターが起動し、USBメモリへのファイル書き換えを監視するという製品がBuffaloやI/O DATAから出てきています。
http://jp.trendmicro.com/jp/products/enterprise/tmusb/
感染を防げるか否かは検索エンジンとパターンファイルの対応次第ですが、ユーザの知識を必要としないし人為ミスが発生しにくいし、状況次第では初期費用をランニングコスト低減で回収できるので有効性は高いと思います。いかがでしょうか。

投稿: すー | 2009/02/12 14:03:51

はじめまして。初コメント投稿します。
自分のメモリにも最近ウィルス感染しAutorunに興味を持った(危)のですが、
USBメモリにアイコン表示をつけるというのはどうでしょうか?
自分はUSBメモリのドライブが一目で分かるように(目立たせるために)フリー素材のアイコンをネットから拾って入れてあります。
なので、もしAutorun.infが書き換えられたなら、同時にアイコンも表示されなくなる(フォルダのアイコンになる?)ので視覚的にも感染予防になるのでは?と考えました。
どうでもいい事ですが、アイコンを変えると気分も若干良くなりますw

投稿: Mew | 2009/02/12 16:43:00

通りすがり さん
>ネットワークドライブに autorun.inf があっても実行してしまう(検証済み)ので、USB メモリだけ気をつけていてもダメですよ。

ああ、そうでしたね。
ネットワークドライブ経由でも感染するんでした。
http://www.losttechnology.jp/Tips/cddvderror.html
こちらの記事でも、ドライブの種類により自動実行をとめることができるレジストリを紹介されていますが…。
それにしても、ご紹介いただいたサイトの内容はちょっと衝撃的ですね。
オートラン無効と一口に言っても、Shiftを押しながら挿入だけとか、レジストリをいじるとか、実にいろいろレベルがあり、それらが完全であるとは言いがたい、ということ。
先に「名無し さん」がご指摘いただいてましたが、「オートラン無効」にするにしても、何が完全な「autorun.inf 無効」になるのか、これではまったく不明ですし、環境により対処も違う、というとんでもない状況です。
マイクロソフトやセキュリティ対策ソフトベンダーが対処しあぐねているのはわかる気がします。

すー さん
そうなんです、書込み禁止スイッチの入れ忘れが最も大きな問題となりますよね。
うっかりしていたら、結局同じですので…。
また、ご紹介いただいたセキュリティ昨日付きUSBメモリも、結局はパターンファイル対処ですので、無条件でautorun.infの改竄に対処するわけではないので、お金をかける割にはあてにならないような気もします…。

Mew さん
なるほど、それはそれで、突っ込んだ際に「感染してるかどうか」「autorun.infが無効かどうか」をチェックできますね。
でも、autorun.infが無効なPCだとアイコン変更できませんよね…。
さらにここで始末が悪いのは、PCがautorun.infが無効だからといって、USBメモリに感染しないことの保証にも、PCが感染してないことの保証にもなっていない(駆除もせずに無効設定しただけとか)ということ。
うーん、決定打ってないもんですねぇ。

投稿: ささもと | 2009/02/13 7:37:53

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« 安直なリカバリのツケは高かった。 | トップページ | 室井さん!PS3が エラーコード 8002A535 でサインインできません! »