USBメモリに感染するウイルス：Royal Windows：So-net blog

	ブログをはじめるログイン

USBメモリに感染するウイルスブログトップ

【USBウイルス wauclt.exe msdtr.exe 】　[USBメモリに感染するウイルス]

このUSBウイルスは恐ろしいことに、WebサイトアクセスのIDパスワードを隠しファイルに記録している。
USBメモリ e:\Recycled\112EF....\FOUND.00AにURLとIDパスワードがことごとく記録されていた。

e:\AutoRun.inf
e:\Recycled\explore.exe

がUSBメモリに記録されている。
autorunでウイルスが実行される仕組みだ。

msconfig のスタートアップにウイルス msdtr.exe が登録されている。

C:\Documents and Settings\Administrator\Local Settings\Temp に以下のファイルが保存されている。
wauclt.exe
explore.exe
msdtr.exe

１字違いのwuauclt.exeはWindows Updateの実行ファイルだし、explore.exeもexplorer.exeの１字違いなので、タスクマネージャでプロセスリストを見ても判別しづらい。
全て隠しファイルであり、フォルダオプションで「すべてのファイルとフォルダを表示する」を選択しても有効にならない。

削除は、delコマンドをオプション付きで実行する。

del /ahr /p wauclt.exe

それからレジストリエディタで以下の値を全て1にする。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"Hidden"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"ShowSuperHidden"

ウイルスが記録していたウェブサイトのIDパスワードは、どうなったのか？
どこかのサーバにポストされているかもしれない。
このウイルスは、パソコンの使用には影響がないので、IDパスワードを盗まれていても、気が付かないかもしれない。
USBウイルスも沢山種類があるようだ。
前回記事にしたタイプとも違いがある。http://royalwin.blog.so-net.ne.jp/2009-07-06
Windowsを使う以上、アンチウイルスソフトの使用は絶対必要だ。

2009-07-31 22:59 nice!(0) コメント(0) トラックバック(0)

【USBウイルスの捕獲】　[USBメモリに感染するウイルス]

今日も USBウイルス revo.exe xvassdf.exe を除去した。
以前記事にしたUSBウイルスと同じタイプだが、とりあえずUSBメモリに感染させて持ち帰った。
http://royalwin.blog.so-net.ne.jp/2009-07-06

F:\>dir /ahr
ドライブ F のボリュームラベルは U2G_X806 です
ボリュームシリアル番号は EAD2-D9F5 です

F:\ のディレクトリ

2009/07/29 08:17           105,151 s9h3v.bat
2009/07/29 10:59                57 autorun.inf
               2 個のファイル             105,208 バイト
               0 個のディレクトリ   1,875,378,176 バイトの空き領域

F:\>type autorun.inf
[AutoRun]
open=s9h3v.bat
shell\open\Command=s9h3v.bat

autorunでウイルスプログラム s9h3v.bat を起動する仕組みになっている。

検索してみたところUSBウイルス駆除補助プログラムを作成、公開している方がいる。
http://wwww.vc/index.php?id=282

非常に気味の悪いウイルスなので、症状*が出ている人は試してみて欲しい。
*:ツール→フォルダオプション→表示→ファイルやフォルダの表示→「すべてのファイルとフォルダを表示する」にチェックを入れても「隠しファイル及び隠しフォルダを表示しない」に戻されてしまう。ウェブサイトの表示等が非常に遅くなる。等

USBメモリといえば、グリーンハウスからオーディオプレーヤにもなるUSBメモリが発売される。
Kana Flash 実売2180円、2GBでmp3 /WMA再生可能。

2009-07-30 00:05 nice!(0) コメント(0) トラックバック(0)

【USBウイルス】　[USBメモリに感染するウイルス]

USBメモリからこのウイルスに感染すると，CPU 使用率が高くなり操作が著しく困難になる。
何故か wuauclt.exe (Windows アップデート)や McShield.exe (McAfee Total Protection)のCPU使用率が高くなる。
タスクマネージャでプロセスリストを見てみると，kavo.exe, xvassdf.exe 等ウイルスプログラムが実行されている。

ウイルスプログラムが隠しファイル表示の制御をしている。
ツール > フォルダオプション > 表示 > 詳細設定で「すべてのファイルとフォルダを表示する」にチェックを入れても「隠しファイルとフォルダを表示しない」に戻ってしまう。

C:\に autorun.inf が生成されている。

[AutoRun]
open=um.exe
shell\open\Command=um.exe

autorunなので、マイコンピュータ > Cで、Cドライブを開いたら実行されてしまう。
スタートアップにもxvassdf.exeなど複数のウイルスプログラムが登録される。
ファイル名を指定して実行 > msconfig > スタートアップで無効にできる。

C:\
C:\WINDOWS\system32
C:\Documents and Settings\%USER%\Local Settings\Temp
に、以下のウイルスプログラムが入っていたが、これでも全てではない。

この中で一番新しい um.exe は最新更新済の McAfee で検出できなかった。
結果は除去できたが、こちら等で手順が詳しく説明されている。
http://shin.s-ence.org/archives/2009/06/16334.html

コマンドで隠しファイルの削除は可能だ。
隠しファイルの確認

dir /ah

隠しファイルの削除

del /ahr /p virus.exe

隠しファイルのコピー

xcopy c:\virus.exe e:\ /h

レジストリの変更（全て値を1にする）

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"Hidden"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"ShowSuperHidden"