mmvo.exe関連ウイルス - exの続き。あれからほぼ99%駆逐して平穏な日々だったが、全くの別経路から亜種を発見したのでその攻略法を書き留めておく。
社内のあるPCをメンテしていたらCドライブが開けないものがあった。例の拡張子無しでダブルクリックすると表示される『このファイルの種類を開くプログラムを選択してください』というダイアログだ。またあのウイルスか!と思ってCドライブ直下を確認すると『すべてのファイルとフォルダを表示する』になっているので全ての隠しファイルが見えているがそこに『autorun.inf』は見当たらない。この種のウイルスの特徴として、勝手にレジストリを書き換えてフォルダ内に仕込んだウイルスをユーザーに見せないようにするのが常套手段だったのだが今回は違ったようだ。変だな、と思いながら『mmvo』でファイル検索したが何も見つからない。そして『autorun.inf』フォルダを作ろうとしたら・・・
ヤツはいる!
念のためカスペルスキーのオンラインスキャンを掛けてみたら真っ先にautorun.infが引っ掛かった。間違いなくCドライブ直下にヤツはいる。隠しファイルを表示する設定にしているにもかかわらず見えないが確実に存在しているautorun.inf
不気味だがここは基本に立ち返ってコマンドプロンプトでDOSコマンドだ。
cd c:\
C:\>dir
出てこない。DOSコマンドのdirには隠しファイルを表示するオプションがあるので追加してもう一度試みる。
C:\>dir /ah
出てきた!boot.iniなどに混じってautorun.infが確認された!attribコマンドで属性を隠しから通常に戻す。
C:\>attrib -h autorun.inf
<追記>
コマンドプロンプトの操作に不安がある人はフォルダオプション「保護されたオペレーティング システム ファイルを表示しない(推奨)」のチェックを外しても同じ事が出来ます。autorun.infを削除出来たら元に戻すのを忘れずに。あさん、ありがとうございます。時間無かったのでレジストリ全チェック出来なかったのだが、単なる隠しファイルから保護システムファイルに偽装するようになったのか。厄介だな。
そのまま削除するには惜しいのでリネームしてファイルを捕捉、autorun.infの中身を覗いてみるとやはりa0fr.batを呼び出していた。ファイル検索からa0fr.batを探したが見つからなかったが、レジストリにはしっかり仕込まれていたのでレジストリからa0fr.batを徹底的に検索、全削除を行った。おそらくこれで大丈夫だろう。
それにしてもSymantecはまるで役に立たないな、素通しじゃないか。こういう時はNOD32体験版の出番。NOD32をインストールした後、リネームしたautorun.infをマウスで触るだけで画面にデカデカとウイルスの警告!頼もしいねぇ、うちのSymantecがサーバーとセットじゃなければNOD32に乗り換えるのに(´ー`)
とりあえずNOD32で一晩全スキャンを掛けた後何も見つからなかったのでひとまず駆除成功とした。