冬言響 / 日記
アメコミとか映画とか音楽とか猫とか単車とか自転車とか革とか銀とかジーンズとかブーツとか今日喰ったものとか。
アメコミとか映画とか音楽とか猫とか単車とか自転車とか革とか銀とかジーンズとかブーツとか今日喰ったものとか。
に勤務先の売場 PC が感染してよった。どこから拾ってきたんだか。
某月某日。某セキュリティソフトが自身無さげにこんなことを言ってくる。
「なんか疑わしいファイルを見っけたんスけどー。C:�uh9l3x.exe。一応自分の実家に送って調べてみますが、これはどうしましょう。削除します? 良く判んないんで現時点では放置が推奨ですが」
そんな場所にそんな妙ちきりんなファイルは明らかに怪しいので削除。するとさらに
「あー、じゃあ、ついでに再起動してブート段階で徹底的なウィルスチェックもしとくと良いかもー。やります?」
とか言い出すので言われる通りに再起動。ウィルスチェック。特に検出されず。
で、これで済んだかなと思って仕事してたらおもむろに
「なんか疑わしいファイルを見っけたんスけどー。C:�uh9l3x.exe。一応(ry」
なんか復活しよったぽい。いよいよ面倒なことになりそうだなー、と、今度は無視を選択して、手作業で削除してみることに。
マイコンピュータで C ドライブのルートを開く。0uh9l3x.exe なんてファイルは見あたらない。隠しファイルになってるのだろうと、フォルダオプションから「すべてのファイルとフォルダを表示する」を選択して「OK」。が、特に表示に変化は無い。フォルダオプションをもう一度開くと、「隠しファイルおよび隠しフォルダを表示しない」が選択された状態になってる。また「すべての(ry」を選択して閉じて開き直しても同じ。
ぬう。
コマンドプロンプトを開く。C: のルートに移動して dir /a。隠しファイルも込みでズラズラと表示。0uh9l3x.exe と、もうひとつ忘れたけど不自然な名前の実行ファイルの存在を確認。del /a *.exe で削除。で、いつまでも PC にかかりっきりって訳にもいかないのでこの日はここまでで仕事に戻る。
翌日。PC を起動してしばらくすると
「なんか疑わ(ry」
ぬぬぬぬぬ。
とりあえず Google 先生に聞いてみる。ちなみに 1 文字目は数字の「ゼロ」で、「9」と「3」の間にあるのはアルファベットの「エル」の小文字なのだけど、ウィンドウの表示ではアルファベットの「オー」とか数字の「1」とかと見分けが付きにくい。その効果も込みで付けた名前なのだろうけど。コマンドプロンプトの表示結果からコピペして検索。なんぞ英語のページが 1 件だけヒット。で、この日は妙に忙しかったのでこれ以上調査してる余裕は無い。とりあえずメッセージウィンドウのスクリーンショットとかを USB メモリに入れて持ち帰って自宅で調査することに。
自宅で調査。件のページは「xvassdf.exe」とかいう左手だけで付けたような名前のワームに関する情報で、「0uh9l3x.exe」はそれが名乗る偽名の 1 つらしい。「xvassdf.exe」で検索。ちゃんと日本語のページが見つかる。
恥ずかしながら知らなかったのだが最近は USB メモリを媒介に広がる USB ウィルスなんてものがあるそうで。感染した PC に USB メモリを挿して開くとメモリが感染して、その感染したメモリを別の PC に挿すと PC が感染する。そうやって広がってゆく、かつて FD を媒介にウィルスが広がってた時代に先祖返りしたような代物。
この xvassdf.exe は PC に感染すると、自身を HDD のルートや、C:windowssystem32 以下にコピーし、スタートアップに登録し、レジストリをいじってフォルダオプションから隠しファイルの表示が出来ないようにする。その PC に USB メモリを挿すと、自身をコピーし、さらに USB メモリ挿入時に自動起動させる設定ファイル autorun.inf を生成。その USB メモリを別の PC に挿し、マイコンピュータとかで開くと、autorun.inf の設定に従ってウィルスが実行され、感染する、と。そんな具合らしい。
スクリーンショットを持ち帰るのに使った USB メモリにもばっちり感染してて、というか Mac から見たら単に「0uh9l3x.exe」と「autorun.inf」があるってだけなのだけど、とりあえずフツーにゴミ箱に放り込んで削除。んで先のページを印刷したものを持って今日は早めに出勤。
書かれてた内容に従って売場 PC のウィルスを駆除。さらに社員が出勤してきたので USB メモリを借りてチェック。Shift を押しながら USB ポートに挿せば自動起動とかしないので、さらにマイコンピュータではなくエクスプローラで開く。隠しファイルを表示にすると、0uh9l3x.exe と autorun.inf がばっちり居たので削除。さらに USB ウィルス一般に関するページを見ると、「autorun.inf」という名前のフォルダを作って置いておけばこのテのウィルスの感染を防げると書いてあったのでその通りにしてみる。「autorun.inf」が既にあれば新しく生成されることがないということなんだろうけど、なんでフォルダなんだろう。空のテキストファイル(もちろん書き込み不可にする)とかじゃ駄目なんだろうか。
自分勤務先ではだいたい皆 USB メモリを使って売場とか事務所とか店舗間で諸々のデータを持ち運んでいるので、店長に報告して事務所の PC や各社員の USB メモリをチェック。だいたい感染してやがった。とんだパンデミックだ。とりあえずコマンドプロンプトから dir /a やって文字列がずらずら流れたあと 0uh9l3x.exe の存在を目視確認して「あー、感染してますねー」と言ってやるとまるでスーパーハカーを見るような目で見られるのがちょっと快感。
片っ端から駆除してセキュリティソフトをアップデートして USB メモリには autorun.inf フォルダをぶち込む。比較的新しいウィルスらしく、検索してヒットしたページでも 09 年 6 月 16 日時点でウィルスバスターとかでもスルーされてたらしいが、今日の時点で最新版にアップデートすればウィルスセキュリティ ZERO とか avast! とかでだいたいヒットするようになってた。ヒットしても削除されるのはウィルス本体だけで生成された autorun.inf とかレジストリの改変とかはスルーだったりするが。感染する前に検知してくれるのが一番やね。
「これに感染してるとどんな不都合があるの?」と質問されるとちょっと困る。現時点でこれ自体が具体的にデータを消したりネットにバラ撒いたりとかの判りやすい動作をする訳では無さげなので。ユーザーの意図していないプログラムが自動実行されている状況それ自体が充分に不具合な訳で、そこら辺を判りやすく説明出来るだろうか、と、ちょっと迷ってると、「あ、難しくなるなら良いや。とりあえずやれることやって」と言われる。理解のある店長で助かる。「具体的な不具合が無いなら良いじゃん。いらんことしてないで仕事戻れ」とか言い出す人間は、とりあえず今のところウチには居ないよなあ。
他店舗にもたぶん蔓延してるんだけど大丈夫だろうか。出張駆除サービスまでやるつもりは無いが(やれと言われればやるが)。メールで情報だけは流してくれてるし、まあ各店舗 1 人ぐらいはそれ見て対処出来る人間は居るだろ。たぶん。