USBメモリ autorun.inf


autorun.inf 系のウィルス駆除について



2010/01/02現在、未だ猛威を振るっているUSBメモリ経由感染型のautorun.inf系ウィルス(およびその数え切れないくらいの亜種)に対する駆除法について。
市販のウィルス対策ソフトなどでは、すべての型に対応しきれないのが実状なので、過信は禁物である。
USBメモリを経由しないと感染しない、との誤解があるが、ワームタイプも確認されている。(この型だと、パソコンを起動しているだけで感染する)
次から次へと強力な型が発生しているので、ここに書いている方法では対抗できないタイプもすでに出てきている可能性がある。

代表的なファイル名は、
00ths0ru.exe
06.exe
2u2a9o.exe
2w6d.exe
2x2w.exe
3yseow89.exe
4tddfwq0.dll
6d8eo.exe
8d.cmd
8e9gmih.bat
8s.exe
9muu8lfw.exe
9n2an82v.exe
9nu2c.exe
9ql.exe
9swdbe.exe
9uu2c.exe
9y.exe
a81lkgv.com
a9n.exe
afmain0.dll
ampfrb.cmd
atc1mu.exe
b9w9.exe
ce.exe
cj3j.exe
dcp6w.exe
emmsc2tf.exe
ettlwbon.exe
f.exe
fcay.exe
fmg83i.exe
hbs.exe
hkkfs.exe
i6va.exe
ierdfgh.exe
iqetrewq.exe
isaecyu.exe
ixw.exe
jxahjo.exe
ksahqgbi.exe
l3irlp.cmd
las99dn3.com
m3nxw.exe
meabwpjj.exe
mmvo.exe
n.exe
nfhevl3j.exe
nt.com
nt1a.exe
o02nya.exe
o6mhfog.com
ohdv.exe
oww2c.exe
pytdfse0.dll
q1.exe
q83iwmgf.bat
qw6t0mpm.exe
r0so.exe
r1bd.exe
r1wvuyxh.exe
revo.exe
sfwypsy.exe
sop.exe
t2yev.com
u3iwl3.exe
uqr.exe
uvg.com
vb8jc.exe
xvassdf.exe
ycmwc.exe
など。まだまだ増え続けている。
以下の方法はWindowsの特性である「同一階層に、同名のフォルダとファイルが混在できない」という制限ともいえる仕様を逆手に取ったものなので、今後Windowsのバージョンアップに伴い通用しなくなる可能性があるが、現状(Windows 7 まで)では通用すると思われる。
ちなみにフォルダ名をリネーム後に autorun.inf を作成してくるような、タチの悪いウィルスには対抗できないので注意。

※Administrator権限で行う必要があります。



物理的にネットワークから切り離す。(LANケーブルを引き抜く)
セーフモードで起動する。(Administratorでログオン)
スタートボタンをクリック。
「 ファイル名を指定して実行 」をクリック。
「 CMD 」と入力し、エンターキーを叩く。

ここから

「 (ドライブレター): 」と入力し、エンターキー。(例えば「 c: 」)
以後、すべて入力後にエンターキーを叩く。
「 cd \ 」
「 attrib -s -h -r autorun.inf 」
「 ren autorun.inf v.txt 」
「 md autorun.inf 」
「 cd autorun.inf 」
「 copy con autorun.inf 」
「 decoy file 」
ctrlキーを押しながら、Zを叩く。
エンターキーを叩く。
以後、すべて入力後にエンターキーを叩く。
「 attrib +s +h +r autorun.inf 」
「 cd .. 」
「 attrib +s +h +r autorun.inf 」
「 type v.txt 」
ここで表示されるのは、以下のような内容になるはず。
----------------------------------------
open=hogehoge.exe
shell\open\Command=hogehoge.exe
----------------------------------------
※以下、ウィルスのファイル名が「 hogehoge.exe 」だと仮定して進めます。自分のPCに感染したウィルスのファイル名に各々置き換えて読んでください。

「 del hogehoge.exe
「 md hogehoge.exe
「 cd hogehoge.exe
「 copy con hogehoge.exe
「 decoy file 」
ctrlキーを押しながら、Zを叩く。
エンターキーを叩く。
「 attrib +s +h +r hogehoge.exe
「 cd .. 」
「 attrib +s +h +r hogehoge.exe
「 del v.txt 」

ここまで

ここから」~「ここまで」を、PCにつながっているすべてのストレージドライブに対して行う。パーティションを切っているなら、すべてのパーティションに対して。USB外付けHDDがあるなら、それに対しても。バッチを組んでおけば、毎回入力する手間はなくなる。

以上の操作で、今感染しているウィルスに対する抗体が出来る。

後は
c:\windows\system32\
c:\Windows\Prefetch\
c:\Documents and Settings\ユーザー名\LocalSetting\Temp\

こういったフォルダ内の、比較的新しいファイルで怪しいexeファイル(及びdllファイル)を削除する。このあたりはひたすら地道な作業になるだろう。
代表的なファイル名は
4tddfwq0.dll
AhnRpta.exe
ierdfgh.exe
kavo.exe
mmvo.exe
o6mhfog.com
revo.exe
xvassdf.exe
など。
※大抵新型のものほど、autorun.inf 内の"hogehoge.exe"とは別名で潜んでいる傾向が強い。

基本的に、ここまでの作業が完了すれば駆除できている。
さらにレジストリも消去しておけば完璧だろう。

怪しいファイルが見つからない、または自信がないときは、オンラインスキャンなどを使って探すのも一つの手だが、今のところウィルスの全種類は認識できないようである。

トレンドマイクロが、UBSメモリーから起動できるウイルス対策ソフト「ポータブル セキュリティー」を発売した。ウイルス検索用データは別に用意する管理用パソコンから更新する必要があるが、これを使うのも効果的と思われる。

アークンの「AntiMalware ARC」をインストールしておけば、そのPCのみ感染を未然に防ぐことができる。




[ 戻る ]