USBメモリ autorun.inf


autorun.inf 系のUSBメモリ経由ウィルス感染予防の考察



2010/01/02現在、未だ猛威を振るっているUSBメモリ経由感染型のautorun.inf系ウィルス(およびその数え切れないくらいの亜種)に対する予防策。
市販のウィルス対策ソフトなどでは、すべての型に対応しきれないのが実状なので、過信は禁物である。
USBメモリを経由しないと感染しない、との誤解があるが、ワームタイプも確認されている。(この型だと、パソコンを起動しているだけで感染する)

代表的なファイル名は、
00ths0ru.exe
06.exe
2u2a9o.exe
2w6d.exe
2x2w.exe
3yseow89.exe
4tddfwq0.dll
6d8eo.exe
8d.cmd
8e9gmih.bat
8s.exe
9muu8lfw.exe
9n2an82v.exe
9nu2c.exe
9ql.exe
9swdbe.exe
9uu2c.exe
9y.exe
a81lkgv.com
a9n.exe
afmain0.dll
ampfrb.cmd
atc1mu.exe
b9w9.exe
ce.exe
cj3j.exe
dcp6w.exe
emmsc2tf.exe
ettlwbon.exe
f.exe
fcay.exe
fmg83i.exe
hbs.exe
hkkfs.exe
i6va.exe
ierdfgh.exe
iqetrewq.exe
isaecyu.exe
ixw.exe
jxahjo.exe
ksahqgbi.exe
l3irlp.cmd
las99dn3.com
m3nxw.exe
meabwpjj.exe
mmvo.exe
n.exe
nfhevl3j.exe
nt.com
nt1a.exe
o02nya.exe
o6mhfog.com
ohdv.exe
oww2c.exe
pytdfse0.dll
q1.exe
q83iwmgf.bat
qw6t0mpm.exe
r0so.exe
r1bd.exe
r1wvuyxh.exe
revo.exe
sfwypsy.exe
sop.exe
t2yev.com
u3iwl3.exe
uqr.exe
uvg.com
vb8jc.exe
xvassdf.exe
ycmwc.exe
など。まだまだ増え続けている。
以下の方法はWindowsの特性である「同一階層内に、同名のフォルダとファイルが混在できない」という制限ともいえる仕様を逆手に取ったものなので、今後Windowsのバージョンアップに伴い通用しなくなる可能性があるが、現状(Windows 7 まで)では通用すると思われる。

「 autorun.inf 」という名前のフォルダをあらかじめ作っておくわけだが、同名の「ファイル」ではないところがポイント。ファイルでは、ウィルスが属性を勝手に書き換え、さらに中身をウィルス起動のための内容に書き換えてしまう。フォルダならば、属性は書き換えられても中身を書き換えられることはない。(とはいえ、フォルダをリネームした上で autorun.inf ファイルを作成されてしまえばそれまで。すでにそのような機能を持った亜種が確認されている)

定期的にこのフォルダとフォルダ内のデコイファイルをチェックしていれば、ウィルスが感染しようとした痕跡を見ることが出来る。(フォルダの属性が読み取り専用ではなくなっている、中のデコイファイルが無くなっている、デコイファイルの中身が「decoy file」ではなくなっている、など)

※Administrator権限で行う必要があります。


スタートボタンをクリック。
「 ファイル名を指定して実行 」をクリック。
「 CMD 」と入力し、エンターキーを叩く。
「 (予防したいドライブ名): 」と入力し、エンターキー。(例:「 f: 」など)
以後、すべて入力後にエンターキーを叩く。
「 cd \ 」
「 md autorun.inf 」
「 cd autorun.inf 」
「 copy con autorun.inf 」
「 decoy file 」
ctrlキーを押しながら、Zを叩く。
エンターキーを叩く。
以後、すべて入力後にエンターキーを叩く。
「 attrib +s +h +r autorun.inf 」
「 cd .. 」
「 attrib +s +h +r autorun.inf 」

ちなみに、アークンの「AntiMalware ARC」をインストールしておけば、そのPCのみ感染を未然に防ぐことができる。
32bitと64bitのWindowsに対応している。
Windows 8での動作も確認した。




[ 戻る ]