【USBウイルス wauclt.exe msdtr.exe 】

このUSBウイルスは恐ろしいことに、WebサイトアクセスのIDパスワードを隠しファイルに記録している。
USBメモリ e:\Recycled\112EF....\FOUND.00AにURLとIDパスワードがことごとく記録されていた。

 

e:\AutoRun.inf
e:\Recycled\explore.exe

がUSBメモリに記録されている。
autorunでウイルスが実行される仕組みだ。

msconfig のスタートアップにウイルス msdtr.exe が登録されている。

C:\Documents and Settings\Administrator\Local Settings\Temp に以下のファイルが保存されている。
wauclt.exe
explore.exe
msdtr.exe

１字違いのwuauclt.exeはWindows Updateの実行ファイルだし、explore.exeもexplorer.exeの１字違いなので、タスクマネージャでプロセスリストを見ても判別しづらい。
全て隠しファイルであり、フォルダオプションで「すべてのファイルとフォルダを表示する」を選択しても有効にならない。

削除は、delコマンドをオプション付きで実行する。

del /ahr /p wauclt.exe

それからレジストリエディタで以下の値を全て1にする。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"Hidden"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"ShowSuperHidden"

ウイルスが記録していたウェブサイトのIDパスワードは、どうなったのか？
どこかのサーバにポストされているかもしれない。
このウイルスは、パソコンの使用には影響がないので、IDパスワードを盗まれていても、気が付かないかもしれない。
USBウイルスも沢山種類があるようだ。
前回記事にしたタイプとも違いがある。http://royalwin.blog.so-net.ne.jp/2009-07-06
Windowsを使う以上、アンチウイルスソフトの使用は絶対必要だ。