ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« VAIO PCV-W120の分解。 | トップページ | SSDをポチってみました。 »

2009年2月27日 (金)

またもやUSBメモリのウイルス。今回はierdfgh.exe mmvo.exe uvg.com afmain0.dll。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

大事なことなので先に書いておきます。

Shiftキーを押しながらUSBメモリを刺せば大丈夫、なんてすでに都市伝説

ということ。USBメモリの中身を見ようとしてリムーバブルディスクをダブルクリックで開けば感染してしまうのです。
さらに恐ろしいことに、今回のAutorun.infの記述であれば、

レジストリのAutorunとNoDriveTypeAutorunの値をいじってAutorun.infを無効にした「つもり」でも自動実行はされてしまう

のです。この設定を過信している人は要注意です。

-----

追記

このウイルスの手動駆除を行う場合は、
2009年4月19日 (日) またもやStop:0x00000024。今度はierdfgh.exeとセット。
こちらの記事もご参照ください。

-----

こちらは別件でのお伺いだったんですが、「ちょっとこっちのパソコンも見て欲しいんです」ということで、見せてもらったパソコンにあったダイアログは…。

Ierdfgh_01

ご確認
新しい自動スタートの項目 が見つかりました。
新しいプログラム が、パソコン起動時に自動的に実行されるよう追加されました。

ヒント:この変更は新しいソフトウェアをインストールした場合や新しいソフトウェアがパソコン起動時に、自動的に実行しようとする場合に表示されます。あなた自身が新しいソフトウェアをインストールした、もしくは、このアプリケーションが安全だと認識している場合以外は許可しないでください。

ウイルスセキュリティZEROのダイアログです。

…んーと、これは書いてある通りなんですけどねぇ。
何かソフトをインストールしたのであれば、これは正常ですから「許可」すればいいんですけど、そうでないなら許可せず「ブロック」、なんですけど。

「えー…何も入れてませんけどねぇ…」

…ん~、そりゃ怪しいですねぇ…。
えーと、「ファイル詳細」が下のほうにありますが…。

Ierdfgh_02

ファイル詳細
種類:
開発元:
パス:c:\WINDOWS\system32\ierdfgh.exe
ファイル名:
バージョン:0.0.0.0
識別値:0AB3266D17B0143AA1557A18B93ABFD3

レジストリ詳細
メインキー:HKCU\Software\Microsoft\Windows\CurrentVersion
サブキー:Run
値:kxswsoft=C:\WINDOWS\system32\ierdfgh.exe


∑( ̄□ ̄; はうぁっ!!

こ、これはっ!!

-----

「レジストリ詳細」のところは、HijackThisやMSCONFIGで見かける自動起動キーの記述ですが、ファイル名とキー名が全然違っていて、一見意味がなさそうな英数字の並び。
これは典型的なマルウェアの実行キーの特徴です。
うっわ…こりゃかなりやばそうな状況です。

「なんかですね、起動のたびにこれが出るので毎回『ブロック』してるんですけど、気になって…」

どうやら、ウイルスセキュリティZEROの、スタートアップやIE設定などの改変を検知する機能に助けられた格好です。
いや、これが出るということは、感染はしてしまってはいますが、ウイルスをウイルスと検知してなくても、感染動作を気付かせてはくれているわけです。
とりあえず「常にブロック」です。
するとまたダイアログが。

Afmain0_01

ご確認
新しいShell Execute Hook が見つかりました。
新しいWindows Shell の項目() が追加されました。起動プログラムの動作を管理できます。

ヒント:この変更は新しいソフトウェアをインストールした場合や新しいソフトウェアがパソコン起動時に、自動的に実行しようとする場合に表示されます。あなた自身が新しいソフトウェアをインストールした、もしくは、このアプリケーションが安全だと認識している場合以外は許可しないでください。

またもウイルスセキュリティのダイアログが。

「ファイル詳細」を見てみます。

Afmain0_02

ファイル詳細
種類:
開発元:
パス:c:\WINDOWS\system32\afmain0.dll
ファイル名:
バージョン:0.0.0.0
識別値:45DF807EBB0D603E502F362D3A7CFF8E

レジストリ詳細
メインキー:HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
値:{BB4C402F-882A-4526-8C08-51278EA437C1}

…もう迷いません。「常にブロック」です。

とりあえずダイアログは残しましたので、ファイル名から検索をしてみました。

ierdfgh.exe :FunFunファンファン
mmvo.exeとrevo.exe :FunFunファンファン

2009-01-28-Wed ■[PC]ierdfgh.exe と AhnRpta.exe :は て な の や じ る し . t x t

…( ̄△ ̄; や、やっぱり…ウイルスでしたか…。
それにしても、これらの記事によれば、ノートン先生もやっぱりスルーしてたらしいです…。なんだかなぁ…。

お客様によくよくお聞きしてみると、

「職場から持ち帰ったUSBメモリを刺してからこうなりました。でも、最初は『隔離しました』って出たので大丈夫かな?と思ってたんですけど…」

…やっぱり。
でも、感染は起動設定の変更だけでなんとかなったんだろうか。
一応、いつものようにエクスプローラーのフォルダオプション→表示の設定を「全てのファイルとフォルダを表示する」にチェックを入れ、「保護されたオペレーティングシステムファイルを表示しない(推奨)」のチェックを外しました。
…system32とかCのルートとかには、それらしきファイルや半透明のファイル(強制的に表示させたシステムファイル)が見当たらない。うーむ。

じゃ検索しましょう。
スタートメニューから「検索」、詳細設定で「システムフォルダの検索」「隠しファイルとフォルダの検索」「サブフォルダの検索」をチェック、「ファイル名の全てまたは一部」に、

ierdfgh.exe,afmain0.dll

と入力。(ファイル名とファイル名の間は、ドットではなくコンマです)

…出てきた出てきた。
system32フォルダやら、prefetchフォルダやら。
日付的にきっちり全て同じ。ビンゴ!なので、もう出たもの全て削除です。
右クリックして、Shiftを押しながら「削除」。
(Shift + DELでも可)
…でも、afmain0.dllが消えない。実行中らしい。

じゃ、MSCONFIGで怪しい起動項目を止めといて、再起動後、改めて削除かな。
…って、なんかierdfgh.exeに加えてmmvo.exeとかあるんですけど…。
まぁ、チェックを外して再起動です。
改めて該当ファイルを削除。今度は消えました。

しかし、今回は、リンク先のようにレジストリまでいじらなくても「検索」機能で表示してくれました。
何が違うんだろうな…。

あとは、autorun.infを取り除かねば。
同じく「隠しファイルとフォルダの検索」にチェックを入れて検索。
…出ました出ました。CとDのルートに。
きっちり隠しファイル属性です。
すぐに削除してもいいんですが、一応中身の確認。

;earKKZ12KrwK2ieL3oDjSeCww7i1w3AsA4330LaeAflZDJArs5kr4Jl5iKkddJc5qLoSnmk8DiDFasqkldSo9s9afsrwUa3KqLw03i5oLaX35is
[AutoRun]
;lo2wao1462K3iKeL34lqidaf5kL44sdiwfek9kkLa1jl0oHiDKn523d3lZe
open=uvg.com
;
shell\open\Command=uvg.com
;l7LqLCL3195k2js1asiidqs3H0da312D3sSawaksiSki1ckIwdoKiKDm3KDA3aAJdwe02kJK62JeLK4sqJA42aj7A80Dlfr09pwed8k3ZJlDrsefA0id
shell\open\Default=1
;wKrfjoiDso20nliswkilspasLwSd5dU1L3LKpwa4kaw78L
shell\explore\Command=uvg.com
;ifKL7wLJJAA32wf2A92AoiJUs03w2wqoqsKnleowZ9f77A4ca55i91DsJr4kK50lcwl3oA
…( ̄△ ̄;
気持ち程度ですが、難読化されてます…。
行頭にセミコロンが付いてるのは、ただのコメントで、全く意味がありません。
無駄を省くと、こういう記述。
[AutoRun]
open=uvg.com
shell\open\Command=uvg.com
shell\open\Default=1
shell\explore\Command=uvg.com
コレのポイントは、「uvg.com」というファイルを、ドライブを開く際に実行する、ということ。
つまり、エクスプローラーで「リムーバブルディスク」をダブルクリックして開くと、きっちりウイルスが起動し、感染するようになっています。

また検索で「uvg.com」を探し出し、全て削除。

あとは、再起動してみて、レジストリエディタで、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

ここにある「CheckedValue」を「1」に書き換え。
これをやらないと、「すべてのファイルの表示」への変更ができないんですよね…。

あとはエクスプローラの「ツール」→「フォルダオプション」→「表示」タブで「すべてのファイルの表示」から変更できるようになったのを確認。

これで何とかなりました…。

とはいえ、このデータを持って帰ったUSBメモリにも、実はしっかり感染してました…。
怪しいパソコンに刺したUSBメモリは、Ubuntu Linuxのノートパソコンで開いてから使うようにしているんですが、Autorun.infとuvg.comがしっかり居座ってました…。
どうも、ローカルドライブのみの検索でCとDしか見てなかったようですね。
Ubuntuで該当ファイルを削除しておきましたが、いやぁ、油断も隙も無いです…。

ここで重要なのは、

Shiftキーを押しながらUSBメモリを刺せば大丈夫、なんてすでに都市伝説

ということ。USBメモリの中身を見ようとしてリムーバブルディスクをダブルクリックで開けば感染してしまうのです。
さらに恐ろしいことに、今回のAutorun.infの記述であれば、

レジストリのAutorunとNoDriveTypeAutorunの値をいじってAutorun.infを無効にした「つもり」でも自動実行はされてしまう

のである。

US-CERT:WindowsのAutoRun機能に存在する問題について警告 :ZDNet Japan

AUTORUN.INFを使ったワーム :白いはインターネット

「ウチのパソコンはレジストリいじったから大丈夫さ~♪」なんて言ってる人が感染して大ショック!!なんてことも充分にありうるわけですね…。
またもやいたちごっこである…。

WindowsUpdateの自動更新で配布されてますが、早いところ、コレを適用しましょう。
マイクロソフト セキュリティ アドバイザリ (967940) Windows Autorun (自動実行) 用の更新プログラム :Microsoft TechNet セキュリティ

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2009年02月27日(金) 定番トラブル, ウィルス・スパイウェア関連, ソフトウェア不具合関連, ソフトウェア不具合関連(セキュリティホール), パソコントラブル, パソコン・インターネット, 企業(メーカー・プロバイダ等)の姿勢, 基本操作・便利技関連, 日記・コラム・つぶやき |

« VAIO PCV-W120の分解。 | トップページ | SSDをポチってみました。 »

定番トラブル」カテゴリの記事

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

企業(メーカー・プロバイダ等)の姿勢」カテゴリの記事

基本操作・便利技関連」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/44215775/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: またもやUSBメモリのウイルス。今回はierdfgh.exe mmvo.exe uvg.com afmain0.dll。:

» USBメモリで感染するウィルス(ierdfgh.exe、oukdfgr.exe、rcvk.exe)。最近多いねぇ トラックバック IT@SOHO
昨年より、USBメモリで感染するウィルスが、かなり流行っています。 「Otorun」といった名前をよく聞きますが、「autorun.inf」というファイルに、ウィルスの起動情報が書かれていて、USBメモリをパソコンに接続した際の自動起動のときに、ウィルスが感染してしまうという..... 続きを読む

受信: 2009/03/03 19:08:06

» Mal_Otorun2対処で苦労 トラックバック ロイドの日記
弊社のお客さんでも各種ウィルスがかなり流行している。 感染を多く広げているのはセ 続きを読む

受信: 2009/04/09 17:37:05

コメント

最近更新が早いですねー。

最近本当にこの手のウイルスが多いですね。
autorun.infは隠し属性にされていて、しかも、コンピュータに感染すると隠しファイルを表示する設定に
できなくなるものも多いのでやっかいです。

怪しいUSBメモリはまずコマンドプロンプトで確認してから開くようにしています。
その後、常に表示にしてある隠しファイルの設定が隠す設定にされていないかを確認します。

最近のウイルスは次々に新しいタイプが出てくるので、
出始めに知らずに感染してしまうこともたまにありますねw

最近、経産省がPCセキュリティ意識を浸透させようと活動させている
セキュリーナというバーチャルアイドルがじわじわと人気ということですが、
彼女(?)達にがんばってもらいたいものです。

投稿: oi | 2009/03/02 13:41:11

oi さん
ほったらかしの期間の方が長いんですけど(汗)。

それにしても、今回もお客様に「どうすれば確実ですか?」と聞かれて困りました。
もうUSBメモリを使わないか、どうしてもファイルを持って帰るなら、メールに添付ファイルで、としか言いようがありませんでした。

私はautorun.infが関係ないUbuntuLinuxのパソコンがありますが、普通の人はそれだけのためにパソコンを用意できませんからねぇ…。
しかし、セキュリーナって、
http://www.checkpc.go.jp/
これですよね(笑)ブログネタにしようかどうか迷ってましたが…。

投稿: ささもと | 2009/03/02 17:18:29

弊社でも昨日Mal_Otorun2駆除の相談をお客様から受け、御社が掲載されました情報により非常に助かりました。

ありがとうございます。

投稿: ロイドベンチャーシステム | 2009/04/08 10:37:24

ロイドベンチャーシステム さま
コメントいただきありがとうございました。
リンク先を拝見させていただきましたが、何度かお見かけした記憶があります。
直接参考になった記事は、基本的にURLを残していますので、おそらく検索でヒットした参考記事のひとつか、リンクいただいたことがあるかのどちらかでしょう。

こういう具合に、事例の共有で助け合えることもあるということを目指して記事を書いてますので、まさにそうなっている、ということが実感できてうれしく思います。
トラックバックをいただければ幸いです。

アクセス解析を見ていると、どうも比較的規模の大きな「ご同業様」がしょっちゅう見てくれているようなのですが、何のお声がけもないというのはちょっとさびしいですね。
まぁ大きなところだと、こんな「一般市販品」での「どこのメーカーででも起こりうること」でも「機密情報」扱いで公開してくれないんですよね。
まぁ、だからこそ、ウチのようなブログででもアクセス数が伸びる要因になっているので、それはそれで皮肉なものではありますが。

投稿: ささもと | 2009/04/09 6:54:07

ささもと様
トラックバック送信をさせていただきました。

これからもトラブル対処の事例共有をお互いにできれば幸いです。

今後ともよろしくお願いいたします。

投稿: ロイドベンチャーシステム | 2009/04/09 17:41:07

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« VAIO PCV-W120の分解。 | トップページ | SSDをポチってみました。 »