【USBウイルス wauclt.exe msdtr.exe 】 [USBメモリに感染するウイルス]
このUSBウイルスは恐ろしいことに、WebサイトアクセスのIDパスワードを隠しファイルに記録している。
USBメモリ e:\Recycled\112EF....\FOUND.00AにURLとIDパスワードがことごとく記録されていた。
e:\AutoRun.inf
e:\Recycled\explore.exe
がUSBメモリに記録されている。
autorunでウイルスが実行される仕組みだ。
msconfig のスタートアップにウイルス msdtr.exe が登録されている。
C:\Documents and Settings\Administrator\Local Settings\Temp に以下のファイルが保存されている。
wauclt.exe
explore.exe
msdtr.exe
1字違いのwuauclt.exeはWindows Updateの実行ファイルだし、explore.exeもexplorer.exeの1字違いなので、タスクマネージャでプロセスリストを見ても判別しづらい。
全て隠しファイルであり、フォルダオプションで「すべてのファイルとフォルダを表示する」を選択しても有効にならない。
削除は、delコマンドをオプション付きで実行する。
del /ahr /p wauclt.exeそれからレジストリエディタで以下の値を全て1にする。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"Hidden"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
ウイルスが記録していたウェブサイトのIDパスワードは、どうなったのか?
どこかのサーバにポストされているかもしれない。
このウイルスは、パソコンの使用には影響がないので、IDパスワードを盗まれていても、気が付かないかもしれない。
USBウイルスも沢山種類があるようだ。
前回記事にしたタイプとも違いがある。http://royalwin.blog.so-net.ne.jp/2009-07-06
Windowsを使う以上、アンチウイルスソフトの使用は絶対必要だ。
【USBウイルスの捕獲】 [USBメモリに感染するウイルス]
今日も USBウイルス revo.exe xvassdf.exe を除去した。
以前記事にしたUSBウイルスと同じタイプだが、とりあえずUSBメモリに感染させて持ち帰った。
http://royalwin.blog.so-net.ne.jp/2009-07-06
F:\>dir /ahr
ドライブ F のボリューム ラベルは U2G_X806 です
ボリューム シリアル番号は EAD2-D9F5 ですF:\ のディレクトリ
2009/07/29 08:17 105,151 s9h3v.bat
2009/07/29 10:59 57 autorun.inf
2 個のファイル 105,208 バイト
0 個のディレクトリ 1,875,378,176 バイトの空き領域F:\>type autorun.inf
[AutoRun]
open=s9h3v.bat
shell\open\Command=s9h3v.bat
autorunでウイルスプログラム s9h3v.bat を起動する仕組みになっている。
検索してみたところUSBウイルス駆除補助プログラムを作成、公開している方がいる。
http://wwww.vc/index.php?id=282
非常に気味の悪いウイルスなので、症状*が出ている人は試してみて欲しい。
*:ツール→フォルダオプション→表示→ファイルやフォルダの表示→「すべてのファイルとフォルダを表示する」にチェックを入れても「隠しファイル及び隠しフォルダを表示しない」に戻されてしまう。ウェブサイトの表示等が非常に遅くなる。等
USBメモリといえば、グリーンハウスからオーディオプレーヤにもなるUSBメモリが発売される。
Kana Flash 実売2180円、2GBでmp3 /WMA再生可能。
【USBウイルス】 [USBメモリに感染するウイルス]
USBメモリからこのウイルスに感染すると,CPU 使用率が高くなり操作が著しく困難になる。
何故か wuauclt.exe (Windows アップデート)や McShield.exe (McAfee Total Protection)のCPU使用率が高くなる。
タスクマネージャでプロセスリストを見てみると,kavo.exe, xvassdf.exe 等ウイルスプログラムが実行されている。
ウイルスプログラムが隠しファイル表示の制御をしている。
ツール > フォルダオプション > 表示 > 詳細設定で「すべてのファイルとフォルダを表示する」にチェックを入れても「隠しファイルとフォルダを表示しない」に戻ってしまう。
[AutoRun]
open=um.exe
shell\open\Command=um.exe
autorunなので、マイコンピュータ > Cで、Cドライブを開いたら実行されてしまう。
スタートアップにもxvassdf.exeなど複数のウイルスプログラムが登録される。
ファイル名を指定して実行 > msconfig > スタートアップで無効にできる。
C:\
C:\WINDOWS\system32
C:\Documents and Settings\%USER%\Local Settings\Temp
に、以下のウイルスプログラムが入っていたが、これでも全てではない。
この中で一番新しい um.exe は最新更新済の McAfee で検出できなかった。
結果は除去できたが、こちら等で手順が詳しく説明されている。
http://shin.s-ence.org/archives/2009/06/16334.html
コマンドで隠しファイルの削除は可能だ。
隠しファイルの確認
dir /ah隠しファイルの削除
del /ahr /p virus.exe隠しファイルのコピー
xcopy c:\virus.exe e:\ /h
レジストリの変更(全て値を1にする)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"Hidden"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"ShowSuperHidden"