« 2014年 | トップページ | その時ではなくあの時に、 »

2008年5月 3日 (土)

次から次へと、

本日お客様、起動時に次のようなメッセージが出るそうです。

mmvo.exe - アプリケーション エラー
"0x10013c6a" の命令が "0x57731ee8" のメモリを参照しました。メモリが "read" になることはできませんでした。
プログラムを終了するには [OK] をクリックしてください

mmvo.exeはmsconfigで確認すると確かにスタートアップには入っていますが、なんだかよくわかりませんね。まず、持参のUSBメモリを使ってウイルスチェックとHijackThisのログを取って自分の検証用パソコンにそのUSBメモリをつなぐと、

でました、ウイルスです。

これはどうやらUSBメモリや外付けハードディスクを通じて感染する面倒なタイプのウイルスのようです。お客様のパソコンにはフリーのavast!というウイルス対策ソフトがインストールされていますが、こういった新しくて手の込んだウイルスにはお手上げのようですね。とりあえずavast!は一旦削除して、私の検証用パソコンと同じNOD32の試用版をインストールして駆除を行うことにします。

ーで、ウイルスの本体はNOD32が削除してくれたようですが、“見えないように”“復活するように”仕込まれた仕組みを取り除くにはレジストリとコマンドプロンプトからの手動での操作が必要みたいですから、Webページを検索したりしながらまずは、検証用のパソコンで試してからお客様のパソコンを修復しました。

ちなみに手動で削除したものは、

  • autorun.info
  • 9rhtx.bat
  • fudtnmje.bat
  • as.bat
  • m.exe
  • rb.exe
  • mmvo.exe で、Windows Live OneCare PC セーフティでは、Taterf.gen!Cとして検出されます。気になる方は一度オンラインでスキャンされることをお勧めします。

感染すると、すべてのドライブに“autorun.info”を作成してフォルダオプションの“すべてのファイルとフォルダを表示する”を無効にしますので、レジストリを復旧した後コマンドプロンプトなどから属性を変更したうえで関連のファイルを削除しない限りドライブを開くたびに復活します。最後にUSBメモリから問題のファイルを削除しますが、その時もShiftキーを押しながら接続をしないとまたまた復活します。

このウイルスの場合は起動エラー以外は特に何事もなくパソコンを使用できますから、そのまま気にせず使用して周囲にウイルスをまき散らしている方は結構いらっしゃるかもしれませんね。お客様のパソコンは、ウイルス対策ソフトの常駐が解除されていて、ひどいことになりかけていましたが・・・。

|

« 2014年 | トップページ | その時ではなくあの時に、 »

ウイルス・スパイウエア」カテゴリの記事

コメント

ども、LONGです。ネットで調べるとkavoウィルスなんて別名が付いているみたいですね。何でもUSBドライブが開けなくなるとかいう、どちらかと言うと愉快犯的ウィルスの様ですが、それ以外に何かあるんでしょうか?。お客様の物はセキュリティソフトが起動しなくなっていたそうですけど。
ところで、最近はこうした不正プログラムの巧妙化が進み、我々素人では手に負えなくなってきているのが実情です。USBメモリを始めとするリムーバブルディスクは便利ですが、格好の不正プログラム進入経路にもなってしまいます。インターネット接続についてはセキュリティソフトが監視をしてくれているみたいですが、ことリムーバブル領域は監視が手薄なのが実情な様な気がします。安易に他所様から頂いてきたものは接続出来ないですね。

余談>Knoppix(CD-ROM起動だから絶対安全)で一々ディスクをチェックしてからWinに接続・・・それもヤだな、面倒臭いし。

投稿: LONG | 2008年5月 3日 (土) 23時03分

LONGさんコメントありがとうございます。
もう亜種なんだと思うのですが、私の確認ではウイルス対策ソフトの常駐とアップデートを無効にして、別のウイルスやスパイウエアを呼び込むようになっていたようです。対応したお客様のPCにはルートキットやスパイウエアがたくさん検出されました。(どちらが先だったのかよくわかりませんが・・・。)
一番怖いのは、感染源がすぐ近くにいるということですね。最悪の場合、お勤め先丸ごととか仲間内全部とかやられてしまうことになってしまいます。
昨日の段階での話ですが、NOD32をインストールしている私のマシンでもウイルス本体の侵入は食い止めることはできましたが、すべてのドライブに“autorun.info”を作成されることは防げなかったので、具体的な防止策はUSBメモリなどをつながないこと以外にありません。ネットワーク経由で感染するようになったらなどとは考えたくもないですけど…。

投稿: pts. | 2008年5月 4日 (日) 23時07分

ども、LONGです。pts.さん、お返事&情報有難うございました。ルートキットや別のスパイウェアを引き込むというのは話が穏やかではないですね。しかし、幾らなんでも、「autorun.inf」 の構築をセキュリティソフトで禁止する事は流石に難しい気がします。
家では、パソコンがゴロゴロ転がっていると言う表現が適当なくらいパソコンがありますが、取り敢えず(あくまで取り敢えずです)どのパソコンにも個々にセキュリティを施してはいます。が、今回のような手合いのモノには多分お手上げでしょうね。やられない様に注意するしかないのが唯一の対策・・・(-_-;。困った物です。

投稿: LONG | 2008年5月 6日 (火) 23時48分

LONGさんコメントありがとうございます。
その後も順調?に検索ワードに上がってきますので、感染はまだまだありそうですね。急速に広がるわけでもないところがかえってたちが悪いですね。

投稿: pts. | 2008年5月19日 (月) 18時19分

当方もお客様のところでもらってしまいました…。
よくよく思い起こせば、「"read"になることはできませんでした」とかなんとか、意味不明なエラーが出ていたような気もします。
このお客様のところは期限切れのノートンが入ってました…。

「感染した当のパソコンの具体的な症状がわかりづらい」という、最近のウイルスの典型的な感染形態ですので、ウイルス対策をしていない職場だったりすると、よほどのことがない限り、どこが感染源かを特定できなくなるというとんでもない状態に陥ることになります。

ちなみに、フリーでもAVG7.5ではきっちり検知してくれました。
avast!は現状使っていないんですが、検知してくれないんですかねぇ…。

投稿: ささもと | 2008年5月21日 (水) 10時35分

ささもとさんコメントありがとうございます。
私が対応したのは2週間前なので、その間にウイルス対策ソフトでも対応が進んでいるのでしょうね。まだまだ検索されているので、じわじわ広がっているようなのが気持ち悪いですけど…。

投稿: pts. | 2008年5月22日 (木) 19時06分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/118959/41075998

この記事へのトラックバック一覧です: 次から次へと、:

» USBメモリから感染!! [パソコントラブル出張修理・サポート日記]
これはウチのメンテ用パソコンでの話。 この日もあちこち作業をして帰ってきて、以前 [続きを読む]

受信: 2008年5月21日 (水) 08時46分

« 2014年 | トップページ | その時ではなくあの時に、 »