このUSBウイルスは恐ろしいことに、WebサイトアクセスのIDパスワードを隠しファイルに記録している。
USBメモリ e:\Recycled\112EF....\FOUND.00AにURLとIDパスワードがことごとく記録されていた。
e:\AutoRun.inf
e:\Recycled\explore.exe
がUSBメモリに記録されている。
autorunでウイルスが実行される仕組みだ。
msconfig のスタートアップにウイルス msdtr.exe が登録されている。
C:\Documents and Settings\Administrator\Local Settings\Temp に以下のファイルが保存されている。
wauclt.exe
explore.exe
msdtr.exe
1字違いのwuauclt.exeはWindows Updateの実行ファイルだし、explore.exeもexplorer.exeの1字違いなので、タスクマネージャでプロセスリストを見ても判別しづらい。
全て隠しファイルであり、フォルダオプションで「すべてのファイルとフォルダを表示する」を選択しても有効にならない。
削除は、delコマンドをオプション付きで実行する。
del /ahr /p wauclt.exeそれからレジストリエディタで以下の値を全て1にする。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"Hidden"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
ウイルスが記録していたウェブサイトのIDパスワードは、どうなったのか?
どこかのサーバにポストされているかもしれない。
このウイルスは、パソコンの使用には影響がないので、IDパスワードを盗まれていても、気が付かないかもしれない。
USBウイルスも沢山種類があるようだ。
前回記事にしたタイプとも違いがある。http://royalwin.blog.so-net.ne.jp/2009-07-06
Windowsを使う以上、アンチウイルスソフトの使用は絶対必要だ。