日記423

学校で感染力の強いワーム型のウイルスが大流行しています。

ついに、私のパソコンでも感染を確認。
メインで使用している1機（win2Kでセキュリティは独自仕様）は無事だったのですが、
『重たい』という理由でセキュリティソフトを一切入れていないレンダリングサーバ2機（共にwinXP proSP3）が餌食になりました。

このワームは、感染するとautorun.infと実行ファイルをドライブのルートやシステムフォルダ内に作成し、レジストリに不正なデータを追加します。
また、USBメモリ等の外部記憶装置を接続すると、それに自身の複成を作成します。

感染した際の主な症状としては、
・システムファイル・隠しファイルが表示できなくなる
・マイコンピュータからCドライブ等が開けない
・パソコンのリソースを喰いまくって、動作を鈍くさせる
等があるようです。
もっと酷い症状を引き起こす新種が現れるかも知れませんが。



亜種、新種がかなり早いサイクルで出回っているようで、
完全に検出出来るパターンファイルは私が調べた範囲ではまだ見付かっていません。

学校と自宅で確認したウイルスのファイル名は以下の通り。
存在する場所は主に WINDOWS/system32　や、ドライブのルートです。
xvassdf.exe
4tddfwq0.dll
3m2.exe
2w2.com
ierdfgh.exe
mmvo.exe
revo.exe


駆除の方法、レジストリの修正については、他サイト様を参照して下さい。
http://www.ami3s.net/notes/017/index.html
http://orbit.cocolog-nifty.com/supportdiary/2009/05/usbautoruninfmm.html

------------------------------------------------------

同年07/02追記

WINDOWSフォルダ内で新たに『AhnRpta.exe』という名のウイルスを確認しました。
上述のautorun.infの類と違い、隠しファイル・システムファイル属性は持っていません。
実に堂々としています。

コイツはかなり厄介で、いくら削除してもゾンビのように復活します。
復活のタイミングは、何かしらのアプリケーションを起動した時　のようです。
復活と同時に起動し、プロセスが追加されるので分かり易いです。

また、ネットで調べてみたところ、『expiorer.exe』というプロセスも同時に動いている…という報告がありましたが、当方にそのようなプロセスは存在していませんでした。
同じ『AhnRpta.exe』でも症状が異なる亜種が存在するのでしょうか？

現時点では完全な駆除には成功していません。
復活させる.exeファイル・.dllファイルまたはレジストリキーが発見出来ていません。

その場凌ぎでしかありませんが
ウイルスが復活する前に、『AhnRpta.exe』と名前を付けて読み取り専用属性にしたファイルを自ら新規作成することでを復活を阻止しています。
これで仮にプロセスが起動しても、中身は0バイトなので害は無い…と思う。