ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« SSD来ました。 | トップページ | ご迷惑をおかけしております。Windowsが正しく開始できませんでした。今度は…。 »

2009年3月 6日 (金)

USBメモリ感染ウイルスチェッカーを作ってみよう!

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

※2009/03/31追記
このチェッカーは万能ではありません。
あくまで、これで反応したら「確実に感染しています」という程度の認識でお使いください。
反応しないから「感染していない」というものでは決してありません。
追記終わり。

ここ最近のウイルスは、ほとんどがUSBメモリ感染型、って感じですね。
もうかなり大流行しています。

2008年5月19日 (月) USBメモリから感染!!

2008年9月27日 (土) またUSBメモリで…。

2009年1月25日 (日) Downadup (Conficker) の猛威の裏付け。

2009年2月27日 (金) またもやUSBメモリのウイルス。今回はierdfgh.exe mmvo.exe uvg.com afmain0.dll。

最近の記事でもこんな状況。
「Shiftキーを押しながらUSBメモリを差せば大丈夫!」とか、「自動起動をOFFにする設定してるから問題ない!」とか、もうとっくに都市伝説です。すでにそれらも突破されてしまってます。

  • Shiftキーを押して自動起動を抑制
    • ドライブアイコンをダブルクリックなどして開くとウイルスが起動して、感染してしまいます。

  • レジストリ設定などによる自動起動OFF
    • 最近のアップデートで対処はされたものの、WindowsUpdateしていないと、一部のautorunの記述は有効で、感染してしまいます。

これらの対策を過信していて、やられてしまった人もおられるかと思われます…。

また、ウイルス対策ソフトを入れてても、ノートン先生やバスター侍をしても、タイミング悪くスルーされて感染してしまう事例が後を絶ちません。
自動アップデートで毎日新しいパターンファイルにしていても、です。

正直なところ、

USBメモリを見たらウイルスがいると思え

状態です…。

USBメモリにウイルスがいるかどうかをチェックするには、単純なところ、検証用にUbuntuLinuxなどAutorunウイルスに関係ないPCを用意しておいて、Windowsパソコンに刺す前にAutorun.infをチェックする以外にありません。

しかし、パソコンがUSBメモリ感染型ウイルスにやられていないかどうかを一発で見抜くための小道具は作れます。
パンパカパーン!!(ドラえもんの効果音)

USBメモリ感染ウイルスチェッカー!!!

…そのまんまやんけ!!というツッコミはご勘弁を。
ということで、いっちょう作ってみたいと思います。

-----

用意するものは、以下の2つ。


[即納]★メール便200円★【税別1万円以上送料無料】USBポートに挿すだけ♪USB2.0対応小型SD/SDHCカードリーダー GH-CRSDHC


[即納]★メール便200円★【税別1万円以上送料無料】※お一人さま2個までSANDISK SDSDQ-2048 microSD 2GB バルク SDアダプタ付き

はい、通販で買えば、送料込みで1500円しません。
送料が気になって仕方ないぐらい安いです。はい。
SDメモリは、MicroSDでなくてもかまいませんし、手持ちの64MBだとか少ない容量のものでもかまいません。
要するにSDカード状のメモリカードであればいいのです。
(でも、明確に何もファイルの入っていない新品の方がいいでしょう、安いものですし)

もしお手持ちのSDカードとカードリーダーがあれば、もちろんそれでかまいませんが、このタイプだとポケットに突っ込んで持ち歩けたりしますので、小道具としては、かなりお手軽です。

※追記
 お手持ちのSDカードリーダーをご利用の場合は、LOCKノッチを検出して書込み禁止にできるタイプをご利用ください。簡易型のカードリーダーでは、書込み禁止にできない場合があります。

私は近所のパソコン屋さんでSDHCのMicroSD 4GBメモリカードと一緒に買いました。
まぁいろいろと使えますので、私の場合は買っておいてもつぶしは効きますので。

Usbchecker01

こちらでも合計1560円。まぁこんなもんでしょう。

さてここでSDカードをカードリーダーに入れるわけですが、

Sdlock01

書込み防止のLOCKノッチをLOCK側にしておくこと。

大事なことなのでもう一度。

書込み防止のLOCKノッチをLOCK側にしておくこと。

大事なことなので2度書いておきましたよ。

これでカードリーダーへ入れれば、USBメモリ感染ウイルスチェッカーの完成!です。

※追記
 LOCKノッチだけでカード自体の書き込みは禁止にできません。お手持ちのSDカードリーダーをお使いの場合は、必ず「書込み禁止」にできているかどうかの動作確認をしてみてください。ファイルの書き込みができてしまうようではチェッカーになりませんので!!

このチェッカーを、USBメモリ感染型のウイルスに感染しているパソコンのUSB端子に突っ込んだら、メモリカードに感染活動を行なうわけですので、

Autorun_ng01

こんな感じで、突っ込んだだけで「Autorun.infファイルをコピーできない」といったメッセージを表示してくれます。

こういうのが出るようであれば、間違いなく感染しています。

※2009/03/31追記
 注意!!!!
 「書き込みエラーが出る」=「感染している」は間違いないのですが、「書き込みエラーが出ない」=「確実に何も感染していない」という確認にはなりません。
 書込み禁止だと反応しないタイプも存在するという情報もありますし、USBワーム感染活動をしないタイプには何の効力も発揮しません。
追記終わり。

何らかの手法で駆除しましょう。
このタイプのウイルスは、本当にものすごくたくさんの種類が出回っているので、ウイルス対策ソフトがスルーしてしまうようなら、autorun.infをメモ帳で開くなどして、実行ファイルからぐぐってみると、駆除方法などがうまく見つかる場合があります。

そして、このPCに刺したことのあるUSBメモリを何とかしましょう。
間違っても、何の対処もせずに他のWindowsパソコンに突っ込んだりせず、UbuntuLinuxなどのPCでAutorun.infファイルと実行ファイルを削除するようにしましょう。

とはいえ、いずれも自称初心者の素人の方にはお手上げなんですけどね…。

電話対応ではこの手の駆除はできませんので、パソコンをお送りいただくか、出張駆除ということになります。
ご用命は、http://pcdoc.jp/ まで。
もしご用命いただく場合は、事前の問診が必須です。必ず電話もしくはメールで連絡をいただいた上で対処させていただきます。
お困りの際は、ぜひご相談を!

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2009年03月06日(金) 定番トラブル, ウィルス・スパイウェア関連, ソフトウェア不具合関連, パソコントラブル, パソコン・インターネット, 基本操作・便利技関連, 日記・コラム・つぶやき |

« SSD来ました。 | トップページ | ご迷惑をおかけしております。Windowsが正しく開始できませんでした。今度は…。 »

定番トラブル」カテゴリの記事

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

基本操作・便利技関連」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/44301434/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: USBメモリ感染ウイルスチェッカーを作ってみよう!:

» [Windows]Autorun の禁止チェッカー作ってみた トラックバック ひがきの日記
USB メモリを介して感染するウイルスが流行っているらしく、Microsoft からも対策か公開されている。 Windows で ”Autorun レジストリ キーの無効化” の強制を修正する方法 指示通り対策はしたものの、本当にこれで大丈夫なのか不安。 確認する方法はないものか。 「パソコ... 続きを読む

受信: 2009/03/15 19:44:09

» 秘密兵器 トラックバック ういろー・ざ・わーるど
  さすがに今時8インチや5インチのフロッピーを使っている人はいないだろうが 3.5インチのフロッピー、MOあたりはビジネスで使っているところも多いと思う それと、携帯電話ではmicroが普及してしま...... 続きを読む

受信: 2009/07/17 21:43:42

コメント

いつも有意義な記事、有難うございます

http://buffalo.jp/products/catalog/flash/rmum_wh/

このUSBメモリーを買おうかなと思っていたので、まさに記事に該当する製品だと思いますが如何でしょうか。

投稿: 一読者 | 2009/03/10 16:22:58

この記事のポイントはSDカードではなくて、「書込み禁止」ということですよね?

書込み禁止に出来ればUSBメモリでもOKですよね?

あと、書込み禁止に出来ないUSBメモリでも、Autorun.infファイルを予め作成しておいて、属性を読み取り専用にしただけでは駄目でしょうか?

投稿: にょろにょろ | 2009/03/10 18:30:28

他所に行って発表会などに参加したときにUSBメモリを持っていくと、すぐに感染させられると怒っていた人が居たので、バッファローのRUFシリーズのUSBメモリを勧めてました。

が、今回のような活用例は思いつきませんでした。
良いアイディアをありがとうございます。

投稿: さふ | 2009/03/10 21:10:07

一読者 さん
MicroSDを使いたいだけならそれでもいいんですけど…書込み禁止にはできないようですので、今回の記事の趣旨に沿ってません。
記事の趣旨に沿う製品ならこちらでしょう。
http://buffalo.jp/products/catalog/flash/ruf2-lvs-bk/
書込み禁止スイッチが付いてるUSBメモリって、バッファロー以外では見かけないですし、ハッキリ言ってウチの近所では売ってるのをほとんど見かけないんですよね…。
通販であれば関係ないんですけど…「これしかダメ!」ではバッファローの回し者みたいですし、芸がないですから。
「作ってみる」ところに意義があったりするので。
でもまぁ、こんなの作ってるうちに入りませんが…。

にょろにょろ さん
Autorun.infファイルを置くより、Autorun.infフォルダにした方が効果的と言えますけど、書込み禁止を解除して上書きするウイルスもあると聞いてますので、確実なチェックツールだとは言えません。
ハード的な書込み禁止をウイルスがはずせるわけはないので、今回はこれをご紹介しています。
おっしゃるとおり書込み禁止スイッチの付いているUSBメモリでもいいのですが、品物があまりにも限られますし、それでは芸がないので…。

投稿: ささもと | 2009/03/10 21:13:10

さふ さん
RUFシリーズって、ClipDriveですよね。
http://buffalo.jp/products/catalog/item/r/ruf-cl_u2/index.html
一時期は腐るほど店頭に並んでいたのに、最近全く見かけなくなりました。容量アップして発売されているはずなのに…。
http://buffalo.jp/products/catalog/flash/ruf-cs-bl_u2/
店の人にも聞いてみましたが、「まさしくその書込み禁止スイッチがクレームや無駄な問い合わせの元だったかも」と言ってました。
なるほど、うっかり書込み禁止状態にしてしまって、「書き込みできない!」ってところでしょうか。ありがちです。
今でも腐るほど店頭に並んでいたら、こんな記事は書くこともなかったんですけどね…。

投稿: ささもと | 2009/03/10 21:40:03

おおおおおおおおおおおお!
なんという単純で完璧な防御方法!
これは思いつかなかったです。
参考にさせていただきます。

投稿: ぶいち | 2009/03/10 21:43:14

SDカードのロックは内部の電気回路に結線されておらずソフトウェアで処理しているそうですから、ウイルスに感染したPCに挿した場合、安全とはいえないでしょう。
http://ja.wikipedia.org/wiki/SDメモリーカード#SD.E3.83.A1.E3.83.A2.E3.83.AA.E3.83.BC.E3.82.AB.E3.83.BC.E3.83.89.E3.81.AE.E3.83.AD.E3.83.83.E3.82.AF

投稿: Water | 2009/03/10 21:49:04

Water さん
ソフトウェアで処理してるってどこに書いてますか?
今回ご紹介した実物は見られましたか?
実物では、LOCKノッチを物理的に検知し、LOCK状態では、物理的な接点がオープンになります。
カードリーダーのハードウェアレベルでSDカードへの書込み禁止制御をしていると認識しているのですが、私の認識は間違っているのでしょうか…。

投稿: ささもと | 2009/03/10 22:02:36

ここを参照して書き込みました。
http://slashdot.jp/security/comments.pl?sid=431278&cid=1475247

投稿: Water | 2009/03/10 22:11:38

言葉が足らなすぎですね(反省)
SDカードリーダーがハードウェアでライトプロテクトノッチに対応していれば問題ないと思います。
ソフトウェアで対応しているものは私も知りません。すみません。

しかし、世の中にはライトプロテクトノッチを完全に無視するSDカードリーダーが存在しますので、そうでないものを選ぶ必要があります。
例えばDIMEの付録についてきたカードリーダーはライトプロテクトノッチを無視します。

投稿: Water | 2009/03/10 22:41:50

Water さん
リンク先にある「ソフトウェアで処理している」というのは、カードリーダー部でLOCKノッチを物理的に検知する接点の情報を、ソフトウェア(BIOS)で処理して書込み禁止かどうかを決めていたという話。
そのBIOSの接点情報の扱いが間違っていて、LOCK状態でない時にLOCK状態になる、というソフトウェア不具合の話。
やはりあくまでLOCKノッチをカードリーダー側で物理的に接点をOPEN/CLOSEで検知するのは同じです。
USB接続のカードリーダーは、ハードウェアレベルで書込み禁止になるので、OS側で「書込み禁止」と検知されると書き込みしないはずです。それはフロッピーなどの書込み禁止ノッチと扱いは同じです。

いずれにせよ、LOCKノッチを検知する接点のないカードリーダーでは、LOCKノッチでの書込み禁止はできません。
「DIMEの付録のカードリーダー」は私は見てませんが、LOCKノッチを検知しないカードリーダーもないわけではないでしょう。
そこは注意が必要ですね。
それに関しては追記しておきます。
ご指摘ありがとうございました。

投稿: ささもと | 2009/03/11 8:28:04

私どもの環境ではクライアントがUSBメモリにデータを入れて打ち合わせに来られるので
毎回ヒヤヒヤしながらデータを受け取ってます。

これぐらい簡単に、且つ確実に防衛できる
「USBメモリのウィルスチェッカー」があればいいですね。
どこか商品化しませんかねぇ

投稿: メ欄はダミー | 2009/03/11 17:32:04

メ欄はダミー さん
そうですねぇ、早いとこ「ウイルスに汚染されたUSBメモリのウイルスチェッカー」が欲しいですよね。
今の状況では、ホントLinuxなどのパソコンでないと安全にチェックできませんから…。

投稿: ささもと | 2009/03/11 18:53:59

いろいろ調べてたら、バッファローRUFシリーズの「書込み禁止スイッチ」被害例が。

http://pasokoma.jp/bbs8/lg243756
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1322608828
http://questionbox.jp.msn.com/qa1066039.html
http://soudan1.biglobe.ne.jp/qa887577.html
http://mulvol.at-g.net/mvcgi/lng/wwwlng.cgi?print+200702/07020002.txt

RUFシリーズのスイッチは、かなりわかりづらいですから、普通の人にはなかなか気づきにくいですし、詳しい人でもそういう製品の存在を知らない人もおられるでしょうから、無駄な問い合わせ、まさしくFAQ対策として、バッファローも作らなくなってしまったのかもしれません。
他のメーカーは作ってないだけに、今なら「売り」になるのに…。

あと、「Autorun.inf」フォルダですが、

http://enterprise.watch.impress.co.jp/cda/security/2009/01/06/14631.html

> この手口の場合、感染を自動化するために、USBメモリ内に「Autorun.inf」ファイルを作成する。これにより、USBメモリにアクセスしただけで不正プログラムが起動してしまうのだ。この対策としては、「あらかじめUSBメモリ内にAutorun.infという名前のフォルダを作っておくといい。ファイルでフォルダは上書きできないので、こうしておけば、不正なAutorun.infファイルを作成されずに済むのだ」(リージョナルトレンドラボ シニアアンチスレットアナリストの岡本勝之氏)。

> ところが「Autorun.infフォルダの名前にスペースを1つ挿入し、変更してから不正なAutorun.infファイルを作成する」(岡本氏)ようなものまで出てきており、手口の巧妙化が進んでいるという。

…だそうです。
ということで、Autorun.infファイル/フォルダを作って書込み禁止にしてもダメだそうです。
一応、備忘録として。

投稿: ささもと | 2009/03/11 19:09:12

書き込み禁止スイッチが付いてるUSBメモリってバッファローだけなんですねぇ…。
私が初めて買ったUSBメモリがバッファローだったので、書き込み禁止スイッチは普通付いてるものだと思ってました。
今、手持ちのUSBメモリを確認してみると、確かにバッファロー以外のUSBメモリには書き込み禁止スイッチはありませんね(^^;

投稿: けん | 2009/03/13 9:57:31

けん さん
そうですね、「最初に持ったもの」って、どうしても「みんなそうだ」と思ってしまいがちですよね。
でも実際、「付いてて当たり前」でもおかしくないんですけどね。SDカードには、一応そういう意図でのノッチがあるわけですから。
まぁ、書き込みたくないのにLOCKが外れてたり、書き込みたいのにLOCKがかかってたり、ってのは一種のトラブルですから、使う側も認識してないとダメなんですけどね。

投稿: ささもと | 2009/03/14 7:56:28

職場で先ほどまで格闘していた USB メモリ感染型ウィルスは、書込み禁止設定をした USB メモリには何も反応しないタイプでした。もちろん設定を無視して書き込むようなことはありませんし、かといってエラーも出ませんでした。よってこの方法も万能では無さそうです。

なお今回やらかしてくれたウィルスはウイルスバスターでは検出できず、ノートンでは検出はされますがノートン自身がその検出名について web 上で解説しているのとはまったく別のものでした。

ちなみに私は pqi 製の書込み禁止スイッチ付き USB メモリを使用しています。

投稿: tss | 2009/03/30 23:10:32

tss さん
大変有益な情報をありがとうございます。
できればそのウイルスの詳細を教えて欲しいのですが…。
ウイルス名・感染ファイル名など。

とりあえず、このチェッカーが役に立たない場合がある旨を追記します。

投稿: ささもと | 2009/03/31 6:13:22

ウイルス名は…。Norton は Backdoor.Graybird として検出しますが
http://www.symantec.com/region/jp/sarcj/data/b/backdoor.graybird.html
の説明によればこれは USB メモリ感染型ではないので、別の何かなのでしょう。Symantec に問い合わせましたが大連のサポートには私の日本語は通じないようで会話が成立しませんでした (-_-);。

感染すると各ドライブの \ 直下に隠しファイル属性に設定した NTOETECT.exe と AutoRun.inf を作ります。システムへの感染は同じく NTOETECT.exe の名前で \Program Files 以下の(場所を記録してませんが)他のソフトウェアのあるディレクトリに寄生しており、レジストリを使って自身を起動するようになっています。

駆除は、まずレジストリからこのプログラムを呼び出しているところを削除ないし変更した上で再起動し、ついですべての NTOETECT.exe と AutoRun.inf を削除しておしまい(だと信じたい。。。。)。

投稿: tss | 2009/03/31 18:20:35

tss さん
大変有益な情報をありがとうございます。
またこういうのを駆除する専用ソフトとかが作られるんでしょうけど、それまでは苦労の連続ってことでしょうね…。
しかし…大連の人には通じませんでしたかそうでしたか(笑)。

投稿: ささもと | 2009/03/31 20:17:08

どうも。またいです。
ホームセンターでminiSDが投げ売り200円wwでつい衝動買いしてしまいました・・・・。
リーダーも699円でした。
さっそく自分でつくった、autorun Eicar テスター(これはヒミツですww)で使うと・・・
おおっww
つかえてます。
いつも有益な情報ありがとうございます。

投稿: またいさん | 2009/04/02 16:22:25

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« SSD来ました。 | トップページ | ご迷惑をおかけしております。Windowsが正しく開始できませんでした。今度は…。 »