|
|
|
2006.11.28
カテゴリ:ウィルス退治
風邪は万病の元、謎のPCメンテ員です。
よる年波には勝てず、数年前には風邪をこじらせて肺炎で入院、なんてこともございまして、その二の舞にならぬよう戦々恐々しております。 さて、数年前はやれSARSだの鳥インフルエンザだのと新手の病原体に戦々恐々としたのが過去のようですが、別に脅威が去ったわけではないので、他人・他国事とは思わずに注意していただきたいところ。 最近では36年ぶりに狂犬病による日本人感染者者が発生したとかでニュース等で取り上げられています。日本ではとっくに過去のものと忘れられていたものが、世界レベルでは依然と脅威になっている、という訳ですね。 相変わらず前置きが長くなりましたが、過去のものだと思っていた手口が実は新しい、なんてのはコンピュータウィルスにも当てはまりまして、先日応対した事例。 熊さん(仮名)『ご隠居!なんかウィルスに感染したらしいんだけどよ、どうしたらよかんべ?』 相談者さん曰く、PCを起動したらウィルスセキュリティの警告が出るようになった。ところが、PC内をウィルスセキュリティでチェックしても何も検出されない、とのこと。  とりあえず表示されている警告メッセージを読み上げてもらうと、「svohost.exe」なるものがレジストリを改変しようとしているので警告を発しているようです。 「svohost.exe」って名前から既に胡散臭さ爆発です。 #Windowsの正規プログラムである「svchost.exe」に似たようなファイル名をワームは名乗ることが多いので 警告に表示されているレジストリの値などから、ググって見たところ、WORM_LEWOR.BP(リンク先はトレンドマイクロのウィルスデータベース)の可能性が非常に高いということまで突き止めて、応対に行きました。 実際に応対してみて、ウィルスデータベースの内容と全て一致。ウィルスセキュリティじゃ検出できないのも確認したので上記ウィルスデータベースの記述を元に手動削除となりました。 ところでこのWORM_LEWOR.BPですが、感染手段が巧妙というか、座布団1枚というか、うまい。
まだインターネットなんて言葉が無かった頃のウィルスには、フロッピーディスク経由で感染するものが多かったのですが、最近はフロッピーディスクすら使われなくなり、攻撃手法もネットワーク経由で侵入するものが殆ど。ウィルス対策に『出所の知らないフロッピーを使わない』と言われてもピンとこない、あるいは「手口が古典的過ぎで今じゃ誰も使わないよ」と思う人が多いのではないでしょうか。 と、油断しているところに盲点な物理接触?感染の手口。てゆーか、温故知新? えー、このワームのやっかいなところは、PCに接続した全てのドライブに、PCに認識された瞬間にワームがコピーされる点。ということは、「せめてメールデータだけでも救出」しようと外付けハードディスクを繋いだら、それにも感染。PC本体を再インストールしても、バックアップを書き戻そうと繋いだらまた感染。当然、ワームを削除しても次の瞬間にはまた感染しているという堂々巡り。 ウィルスデータベースに記載の手動削除ができなければ、どうしようもありません。データを全てあきらめてWindowsの再インストールで解決できればいいのですが、もしPCがDドライブ、Eドライブなどにパーティションを分けていたら、そこからまた感染するのでアウト。USBメモリに至っては、叩き壊すくらいしかない? ちなみに、感染した場合、エクスプローラーの「全てのファイルを表示」ができなくなるようです。あとダブルクリックでもファイルが開かなくなったりと、かなり手の込んだ嫌がらせが施してあるようです。 と言うわけで、天災(人災?)は忘れた頃にやってくるので、普段からの防災対策に心がけましょう。やはり基本は大事ですね。風邪の予防は手洗いとうがいから! 参考リンク:シマンテック・セキュリティスクエア 追記1:ウィルスセキュリティでは検出されませんでしたが、 ではきちんと検出してくれました。 Winnyのキンタマウィルスが流行った時、日本以外での報告が殆ど無かったため対応が遅れたように、今回の場合も中国以外で報告例が少ないから検出されなかったのかなーと、好意的に解釈してみたり。 追記2:ウィルスセキュリティ、検体および不検出報告を送ろうにもサポート窓口がわかりにくいよorz お気に入りの記事を「いいね!」で応援しよう
[ウィルス退治] カテゴリの最新記事
|
|
