ウイルス対策ソフトをご利用の場合、「トロイの木馬」を誤検出する記事があります。警告が出た際は、こちらの記事をごらんの上、お知らせいただければ幸いです。

« 無線プリントサーバーはやっぱり難しい。 その2 | トップページ | Yahoo!BB with フレッツ光プレミアムには気をつけろ。 »

2010年1月19日 (火)

VirusRemoval.vbsとの闘い。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

こちらは「インターネットがつながらない」というお客様。

「このページは表示できません」だそうだ。

うーん、それはつながらないというよりは…。

いずれにしてもお伺いです。何が原因かは行ってみないとわかりませんので。

お伺いして、まずは現象確認。
確かに「表示できません」ですが…なにやら、Sujin.com.npというサイトがブラウザのホームページ(最初のページ)となっています。
とりあえず、ブックマーク(お気に入り)などから別のサイトを選べば表示はしてくれるので、ネット接続が切れているわけではないようですが…。

最初のページの設定をいくら変更しても、IEを終了してもう一度起動したら…またSujin.com.npに。

「そうなんですよ、いくら変更しても、元に戻ってしまうんです…」

うーむむむむ…久々のブラウザハイジャッカーですねぇ…。

-----

単純なところ、「Sujin.com.np」で検索をしたら、一発で出ました。

VBS_SMALL.JOY - 詳 細 :トレンドマイクロ ウイルスデータベース

こ、これは…。

2008年9月27日 (土) またUSBメモリで…。

こちらの件で片鱗だけ見かけたヤツで、VirusRemoval.vbsというスクリプトをUSBメモリなどでどんどんばら撒くタイプのアレです…。

コレは、ウイルス対策ができてないパソコンがあったら、USBメモリを介していくらでも感染してしまう、去年の夏ごろに大流行していた、オートラン型です。
当然ながら、ウイルス対策は何もしていない…いや、買ってきた時に入っていたプリインストールのものだけです。
起動のたびに「期限切れ」と出ていても放置のままです。もう見飽きた光景です…。

期限切れになったらからと単なる「期限切れ表示」だと「お金がかかる!」となってしまうので、更新作業などの積極的なアクションを取ってもらえません。
「期限切れ」ではなく、「動作していません」と表示してくれればいいのに。
実際、「期限切れ」だけでは、「それでも動作してるんだ」という認識になってしまいます。

でも、「動作していません!!」と過剰な表示をしていると、数年前から流行中の偽アンチウイルスソフトと同じになってしまいます。

2006年4月12日 (水) WinAntiVirusPro 2006って?

こちらのインストールの引き金は、「あなたのウイルス対策は無効になりました!!」でした。
そういうソフトの存在も、ある程度知れ渡るようになってきていますので、やはり警戒して、消極的な「キャンセル」かペケボタンで閉じるという消極的なアクションとなってしまいます。

ウイルス対策の正しい認識の啓蒙ももちろんですが、プロバイダ提供の月額契約のものとか、OSのアップグレードをしない前提でそのOSのサポート期間はずっと有効とか、1年で買い替え/更新という形は、そろそろ考え直す必要があるのではないでしょうか。

まぁそれはそれ。THIS IS IT。違うか。

しっかし、「VirusRemoval.vbs」って…。
英語が理解できてパソコンを知らない人が見たら、「ウイルス除去」って名前ですから、まさかそれがウイルスだなんて思いませんよねぇ。
なかなか人をバカにしたファイル名です…。

対処は以下の通り。
一部トレンドマイクロのサイトから引用します。

  • セーフモードで以下のレジストリを修正。
    • 場所:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
      • 値(修正前):
        Userinit="<Windowsシステムフォルダ>\userinit.exe, <Windowsシステムフォルダ>wscript.exe <Windowsシステムフォルダ>\VirusRemoval.vbs"
      • 値(修正後):
        Userinit=<Windowsシステムフォルダ>\userinit.exe,"
  • セーフモードで以下のレジストリを削除。
    • 場所:
      HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
      • 値:
        Window Title = "Sujin.com.np"
  • CドライブとDドライブ(ローカルハードディスク)のルートにあるautorun.infを削除。
     (ありませんでしたが)
これで駆除完了…の、はず…でしたが…。

ブラウザを起動すると、またSujin.com.npです…。
修正したはずのレジストリも元通り…。

こりゃ元のファイルを消さない限りダメでしょうね。
ということで、例によってファイルのあぶり出し。

エクスプローラからは当然ながら見えません。
ということで、またコマンドプロンプトからattribコマンドです。

C:\windows\system32>attrib virusremoval.vbs -s -r -h

これでファイルはあぶり出されました。
ただ、エクスプローラからはやはり見えないまま。
最近はこういうのが流行ってるんでしょうかねぇ。

とにかく削除しようとしたら…できません。
どうやら実行中で、ロックされているようです。

Windowsに害を及ぼすマルウェアを、「実行中」ってことで、Windows自身が保護してますよ…。

いや、ホントに、パソコンってバカです。

高学歴で事務処理能力だけは高いけど、小難しいことを言うばかりで融通の利かない木端(コッパ)公務員と同じです。

良くも悪くも、言われたこと・決められたことしかしない。

それが自分の首を絞めているということにすら気づかずに…。

ノーマルセーフモードで起動しても同じ。
WinlogonのレジストリでUserinitで実行してますから、セーフモードであろうが無かろうが、ログオンした瞬間に読み込まれます。
しかも、そのレジストリの変更を監視してますので、動作としては、かなりいやらしいです。
何度修正しても、すぐに元通りになってしまうので、何の意味もない。

しかし、そのレジストリが何度か自動復旧されているのを見ているうちに気がついたのは…。

どうも何かしらアクションを起こしたタイミングでレジストリを復旧しているらしい。

ということは…。

レジストリを修正した直後に再起動をかければいいんじゃ?

…読みは見事に当たりました。

修復直後に再起動したら、レジストリの改竄は収まりました。

システムフォルダのVirusRemoval.vbsも、エクスプローラで姿を現わすようになりました。
とりあえず、コイツと各ドライブのAutorun.infを削除して、もう一度レジストリをチェックしなおして、改竄がされていないことを確認しておきます。
あとは、またファイルを作成されにくくするために、「VirusRemoval.vbs」「Autorun.inf」という名前のフォルダを作っておきます。
まぁ、ひどいのになると、フォルダがあっても削除とかリネームとかでムリヤリ作ってしまうタイプも存在しますので、お守り程度ということですが。

とにかく何度か再起動して、ファイルやレジストリが復活しないことを確認して、パソコンの駆除作業は完了です。

ただ、問題はUSBメモリの方。
お客様は、USBメモリを6~7本ほど使っておられましたので、コレを突っ込んだら、元のモクアミです。

これは、私のメンテ用PCに突っ込んでチェックすることにしました。
駆除作業をしたばかりのお客様のパソコンに突っ込んで再感染を食らっていては何の意味もありませんし、私のは、一応最新版のウイルス対策ソフトが入っていますので、オートラン型程度なら検出してくれるはずです。
突っ込んでみたら…。

すべてのUSBメモリに感染していました…。

念のため、デジカメのSDカードもチェックしてみたら…やっぱりやられてました…。

一応、ウイルス対策ソフトが自動駆除してくれましたが、念のため同名のフォルダを作っておき、2~3度刺し直してチェックしておきました。
とりあえずは再発はしなくなったようですので、これで何とか駆除は完了です。

駆除作業の合間に、ご家族の方が近所の店に走って、ウイルス対策ソフトをご購入してきてくれましたので、それをインストールして、インターネットへ接続してアップデートし、ウイルススキャンをかけて、何も検出されないことを確認して、作業完了です。

一応、ウイルス検出はしなかったものの、トロイの木馬などのマルウェアの場合は検出されないこともあり、本来はリカバリをかけるのがベストであるということと、ウイルスなどのマルウェアに関しては、再感染しない保証は全くないことをお伝えして退出です。

リカバリしてウイルスがいない状態で引き渡しても、さらに最新のセキュリティパッチを適用して、その上にウイルス対策ソフトをインストールしていたとしても、ゼロデイ攻撃(未公表の脆弱性を狙った攻撃)には結局はやられてしまう可能性があるわけです。
お客様にこの辺の説明をしておかなければ、たとえリカバリなどで完全にマルウェア除去をしたとしても、1カ月程度でまたやられた場合、こちらの責任を問われてしまいます。
そういうことは意外と少ないのですが、やはりそれなりの防衛線(?)は張っておかなければなりません。

まぁ、ウイルスに対する認識の啓蒙がやはり必要、ということですよね…。

ちなみに、人気blogランキング参加中です。 よろしくお願いします。

このエントリーをはてなブックマークに追加 このエントリーを含むはてなブックマーク この記事をクリップ! BuzzurlにブックマークBuzzurlにブックマーク

2010年01月19日(火) ウィルス・スパイウェア関連, ソフトウェア不具合関連(セキュリティホール), ネットにつながらない・遅い, パソコントラブル, パソコン・インターネット, 日記・コラム・つぶやき |

« 無線プリントサーバーはやっぱり難しい。 その2 | トップページ | Yahoo!BB with フレッツ光プレミアムには気をつけろ。 »

ウィルス・スパイウェア関連」カテゴリの記事

ソフトウェア不具合関連(セキュリティホール)」カテゴリの記事

ネットにつながらない・遅い」カテゴリの記事

パソコントラブル」カテゴリの記事

パソコン・インターネット」カテゴリの記事

日記・コラム・つぶやき」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/13757/47334293/void
↑トラックバックをいただく際は、最後の「/void」を抜いてください。お手数ですがよろしくお願いいたします。

※あまりにも無関係なトラックバックが多いため、当面はトラックバックの公開は承認制にしました。トラックバックを送っていただいてもすぐには反映されません。ご了承願います。

※トラックバックをいただく際は、この記事のURLを記事中に記載(もしくはリンク挿入)願います。
この記事と無関係な内容であったり、明らかな宣伝もしくは宣伝活動目的と判断されるもの、トラックバック元がトップページへのリンクであるもの、もしくは当方が不適切と判断されたものは、公開の承認はなされません。あらかじめご了承願います。

この記事へのトラックバック一覧です: VirusRemoval.vbsとの闘い。:

コメント

>ウイルスに対する認識の啓蒙がやはり必要
結局、その意識がある人はワクチンソフトの更新を怠るようなことは最低でもしないと言う事でしょうね。
まあゼロデイ攻撃では結局ダメでしょうけど。

話それますが、聞くところによりますと
NIS2009では期限が来ると、全機能が停止するそうです。
NIS2010はどうか知りませんが、なに考えてるんでしょうね?

投稿: MoD | 2010/01/25 21:23:59

コメントを書く




※Spam対策のため、コメント公開時E-Mailは非表示となります。









※当面コメントは承認後の公開となります

« 無線プリントサーバーはやっぱり難しい。 その2 | トップページ | Yahoo!BB with フレッツ光プレミアムには気をつけろ。 »