2008年12月27日 - USBメモリ経由で感染するウイルスの、一瞬でできる簡易診断方法
どれが感染しているのかわからない、疑心暗鬼
ここ数ヶ月、USBメモリーキーや外付けハードディスクより感染するウイルスに対する関心が高まっている。
W32.Gammima.AG(Symantec)などだ。
これらは感染しているパソコンに接続したリムーバブルメディア中に、実行形式ファイルと、自動実行させるためのautorun.infを作成する。
感染したリムーバブルメディアを接続したパソコンは、自動実行機能で感染。
あっという間に部署内が汚染され、どのパソコン・またUSBメモリーキーが汚染されているのかわからない、難儀な状況に陥る。
事態の収拾が難しいのは、ウイルス対策ソフトウェアでは検出できない変種が多く、またダウンローダーとして機能し他のマルウェアを勝手に導入するタイプがある点だ。
このブログエントリは当初、特定タイプのマルウェアの事例に対して、ウイルス対策ソフトウェアが導入されていない・または検出できない事例を想定して記載したものでありますが。
幾つかの新しい検体に接したため、随時追記・修正するものである。
ウイルス対策ソフトウェアのログ
単純に、ウイルス対策ソフトウェアの検出ログファイルを閲覧すればよい。
フォルダオプションの挙動よりチェック
1)コントロールパネルのフォルダオプションより、もしくはどこか適当なフォルダを開いてメニューの「ツール」を開いてフォルダオプションを選択。
2)「表示」タブより、「ファイルとフォルダの表示」を探す。
3)「隠しファイルおよび隠しフォルダを表示しない」から「すべてのファイルとフォルダを表示する」にチェックを入れ替える。
4)「OK」を押して閉じる。
5)もう一度開く。
6)感染していると、設定の変更が勝手に操作され、「隠しファイルおよび隠しフォルダを表示しない」に戻される。
ただし、例外もある。
ウイルス対策ソフトウェアが一部のファイルのみを削除した後に、フォルダオプションの設定改変効果は解除できたとしても、新たに接続したUSB接続機器への新規感染活動が継続する事例があった。
ライトプロテクトをかけたUSB機器を接続する
先日駆除作業をしたパソコンの話。
USB接続機器には書き込みを禁止させるスイッチ(ライトプロテクト)機能がある製品がある。
感染中のパソコンにライトプロテクトをかけたUSBメモリーを接続したら、さ。
XXX.exeが何度も何度もUSBメモリーに書き込みを行おうとし・失敗するダイアログが表示され、どうしたものかと悩んでしまった。
状況にもよるんだろうけど。
簡易的な検出方法として、有効な気がする。
集団感染時に有効な、感染パソコンの容易な診断 - ダミーフォルダ法
リムーバブルメディアとCドライブのルート(c:\直下)に作成される実行形式ファイルは通常は非可視となるが、駆除作業の最中に明らかになるだろう。
ここまでくれば、ダミーフォルダ法(dummy folder method)を利用すると、容易に感染パソコンを特定できる。
ウイルス対策ソフトウェアにより検出されない場合に、数十台の感染確認を急ぎ行う必要がある場合におすすめ。
(複数の感染経路より入り込んでいるケースでは、漏れが生じる可能性はある)
以下の操作はそれぞれ自己責任で行ってもらいたい。
- Cドライブ直下に、実行形式ファイルと同じ名称のフォルダを作成する。
- Cドライブ直下に、autorun.infの名称のフォルダを作成する。
- 作成でき、可視ならば、そのパソコンは感染していない(可能性がある)。
- 警告ダイアログが出て、フォルダを作成・またはリネームできないなら、感染中。
- 以前は可視だったダミーフォルダが非可視になっていたら、いつの間にか感染した
作成しようとしたフォルダと同名のファイルが既にそのディレクトリに存在するならば、「ファイルまたはフォルダ名の変更エラー 新しいフォルダの名前を変更できません。指定されたファイル名は既に存在します。別の名前を指定してください。」という警告ダイアログが表示される。
(*クリックで拡大)
注意として、何故か作成したフォルダが削除できなくなったパソコンが1台あった。理由は不明。
また「以前は可視だったダミーフォルダが非可視になっていたら、いつの間にか感染した」は、作成時には感染していなかったのだが、その後の感染後に隠蔽工作の対象とすべきファイルと間違え、ダミーフォルダが非可視とされた例である。
例外として
直接ルートドライブ直下にautorun.infは作成するが、そこから呼び出す実行形式ファイルは直接ルートドライブ直下ではない場合がある。
例として)
E:\autorun.inf
E:\recycle\example.exe
上記はFakeRecycled(McAFEE)のような機能を搭載したタイプである。
ウイルス対策ソフトウェアによる不十分な対処
ウイルス対策ソフトウェアによっては、USB接続機器のルート直下に存在するautorun.infを削除し、予防的な対処を行うものがある。
この場合はautorun.infは消失しており、他のパソコンにてはautorun.infという名称のフォルダを作成できるケースもあった。
ダミーフォルダ法(dummy folder method)
ファイルをファイルで上書きすることはできても、ファイルを同名のフォルダで上書きはできない。
この方法で、特定の場所に非可視ファイルの存在を確認できる(ルートキット感染時にも有効な場合がある)。
応用として、特定の場所に特定の名称のファイルが作成できなくなるように、その名称のフォルダを事前に設置しておくこともできる。
駆除はやや面倒
これまで自分が扱ったうち、未知のマルウェアを勝手に複数インストールしてくれた1台はリカバリー、残りは手動またはERD Commanderにて削除に成功した。
駆除方法について記載されている秀逸なサイトがあるので紹介する。作成されるファイルがrevo.exe、revo0.dll、revo1.dll、klif.sys、uu.exe、hbs.exeのタイプであれば、おそらく下記サイトの方法で修復できるだろう。
REVO(revo.exe) 駆除方法(PC玉手箱)
【MEMO】W32.Gammima.AG(SunWorship)
C:\WINDOWS\system32\drivers\klif.sysは、ウイルス対策ソフトウェアによるスキャンで除去する方がベター(名称が必ずしもこれとは限らないから)。多分、起動時スキャンで検出されると思う。
余談として
Filemonで挙動を調べると、同じファイルを何度もDELETE、CREATE、WRITEと繰り返し、ファイルの削除と再作成を繰り返している。
どうやら感染後にやたらと動作が重い理由は、このためらしい。
またウイルス対策ソフトウェアによりUSBメモリーキーの処理が不十分なまま終了すると、利用に支障をきたす可能性がある。
(一部のウイルス対策ソフトウェアは、autorun.infの削除は行わないため)
Knightウイルス感染でUSBメモリが開けない(LucaBlog, 2007年12月24日)
更新履歴
2009年1月21日追記
2009年2月4日、FakeRecycled(McAFEE)タイプについてと、autorun.infのみが削除された事例と、ライトプロテクト処理済みUSB接続機器について追記した。
2009年2月11日、リムーバブルメディア(removable media)と記載すべき部分をリムーバルメディア(removal media)と記載していた3箇所を修正。うぁ、恥だ。
この記事へのトラックバックURL
http://trackback.blogsys.jp/livedoor/lucanian/51187498
この記事へのトラックバック
昨年末から私の周辺でUSB経由のいわゆる Autorun.inf ウィルス(トロイの木馬)を見かけるようになった。
USB 接続機器を介して拡散するウィルス【だわもん】at 2009年03月08日 09:25
この記事へのコメント
知人に依頼されたrevoの駆除は面倒でした。
revoとわかるまでがひと苦労。
セーフモードで起動をして、avastで2回スキャン。
avastで検知できる範囲では正常でしたので、
まぁ…後でリカバリーでもすればいいかなと。
ファイルの救助もできたことですし。
私物のwindows2000には感染せず。
usbのオートラン機能がないことに救われました。
ダミーフォルダ法はwhiterのときにも有効でしたね。
revoとわかるまでがひと苦労。
セーフモードで起動をして、avastで2回スキャン。
avastで検知できる範囲では正常でしたので、
まぁ…後でリカバリーでもすればいいかなと。
ファイルの救助もできたことですし。
私物のwindows2000には感染せず。
usbのオートラン機能がないことに救われました。
ダミーフォルダ法はwhiterのときにも有効でしたね。
Posted by mash at 2008年12月29日 11:18
>usbのオートラン機能
自動実行機能の回避のみでは、不十分な検体があり。
近日中にとりまとめて追記します。
ファイルの救助と言えば外付けHDは汚染されますが、(少なくとも自分が入手した検体では)焼きソフトでCD-RやDVD-Rにバックアップする際には、メディアは汚染されないようで。
自分らが直接対処するのでなく電話などでアドバイスする際には、注意が必要ですね。
自動実行機能の回避のみでは、不十分な検体があり。
近日中にとりまとめて追記します。
ファイルの救助と言えば外付けHDは汚染されますが、(少なくとも自分が入手した検体では)焼きソフトでCD-RやDVD-Rにバックアップする際には、メディアは汚染されないようで。
自分らが直接対処するのでなく電話などでアドバイスする際には、注意が必要ですね。
Posted by luca at 2008年12月30日 11:20
すいません、一つ訂正。
revo系ではないんだけど。
Win32/Mabezat.A(http://canon-its.jp/product/nd/virusinfo/vr_win32_mabezat_a.html)なら、Windowsのデフォルトの機能で作成したCD-Rが汚染される可能性がありそうです。
revo系ではないんだけど。
Win32/Mabezat.A(http://canon-its.jp/product/nd/virusinfo/vr_win32_mabezat_a.html)なら、Windowsのデフォルトの機能で作成したCD-Rが汚染される可能性がありそうです。
Posted by Luca at 2008年12月30日 13:17
おお!!お久しぶりですね。
いかがなさっているかと、心配しておりました。
ともあれ、復活&新年おめでとうございます。
本年もどうぞよろしくお願いいたします。
いかがなさっているかと、心配しておりました。
ともあれ、復活&新年おめでとうございます。
本年もどうぞよろしくお願いいたします。
Posted by ベルモンツ at 2009年01月01日 17:47
お久しぶりというか、あけおめ というか・・・
ネットカフェでUSBメモリ使うと、かなりの確率で
autorun.inf 等のファイルが勝手に作られてしまいます。
大抵は、悪さではなく「自動起動して内容表示するだけ」
なんですが、削除しないままバスターPCやノートンPCに
さすと、彼らに怒られます。
最近は抜く前に”すべてのファイル表示”で確認して
作られてたら削除しています。
ネットカフェでUSBメモリ使うと、かなりの確率で
autorun.inf 等のファイルが勝手に作られてしまいます。
大抵は、悪さではなく「自動起動して内容表示するだけ」
なんですが、削除しないままバスターPCやノートンPCに
さすと、彼らに怒られます。
最近は抜く前に”すべてのファイル表示”で確認して
作られてたら削除しています。
Posted by anju at 2009年01月08日 15:58
>最近は抜く前に”すべてのファイル表示”で
残念ながら、最近の検体では設定変更後に設定を再操作されて非表示にされたりするので、他の未感染パソコンより確認するしかない現況。
また検出漏れもかなりあるようですから、対策ソフトウェアに依存もできず。
ご存知の通り、autorunの自動実行に限らず、shell\openでドカンですからね。
Shiftキー押しつづければ安全ともいえず。
本文中に書き忘れましたが、autorun.infの名称のフォルダをダミーフォルダとして作成するのは、初心者にはあまり向かないようですね。
(余談に記載したのと同様の症状が発生する場合があるため)
近日中にざっと対策をまとめてみます。
残念ながら、最近の検体では設定変更後に設定を再操作されて非表示にされたりするので、他の未感染パソコンより確認するしかない現況。
また検出漏れもかなりあるようですから、対策ソフトウェアに依存もできず。
ご存知の通り、autorunの自動実行に限らず、shell\openでドカンですからね。
Shiftキー押しつづければ安全ともいえず。
本文中に書き忘れましたが、autorun.infの名称のフォルダをダミーフォルダとして作成するのは、初心者にはあまり向かないようですね。
(余談に記載したのと同様の症状が発生する場合があるため)
近日中にざっと対策をまとめてみます。
Posted by Luca at 2009年01月08日 21:07
> 他の未感染パソコンより確認するしかない現況。
> また検出漏れもかなりあるようですから、対策ソフトウェアに依存もできず。
先の手順は、以下の目的に過ぎません
1.”問題はないのに怒られる”というログが残るのを防ぐ
2.上記の処置で”USBメモリが開けない”になるのを防ぐ
ですから本件は本当の意味では、やっかいですよね
> 近日中にざっと対策をまとめてみます。
お手軽案が見つかるといいですね。
こちらでも見つかればコメント入れます。
> また検出漏れもかなりあるようですから、対策ソフトウェアに依存もできず。
先の手順は、以下の目的に過ぎません
1.”問題はないのに怒られる”というログが残るのを防ぐ
2.上記の処置で”USBメモリが開けない”になるのを防ぐ
ですから本件は本当の意味では、やっかいですよね
> 近日中にざっと対策をまとめてみます。
お手軽案が見つかるといいですね。
こちらでも見つかればコメント入れます。
Posted by anju at 2009年01月09日 09:25
>先の手順は、以下の目的に過ぎません(以下略)
なるほど、そうでしたか。
それならば納得です、得心しました。
ところでざーっと原稿を書着終わったものの、ですね。
個別のパソコン毎なり利用者毎による(設定の)違いにより左右される部分が大きく。
普遍的な対処方法として「こうすれば安全」と提示しようと試みるには、例外となるケースが多く想定され、あまりにも難しい。。。。
なるほど、そうでしたか。
それならば納得です、得心しました。
ところでざーっと原稿を書着終わったものの、ですね。
個別のパソコン毎なり利用者毎による(設定の)違いにより左右される部分が大きく。
普遍的な対処方法として「こうすれば安全」と提示しようと試みるには、例外となるケースが多く想定され、あまりにも難しい。。。。
Posted by Luca at 2009年01月09日 21:18
先日のWindows Updateからだと思うのですが、
対策として入れていた、手製のAutorun.infが機能しなくなりました。
下記レジストリにキャッシュされた"Autorun"の値が"_Autorun"になってます。HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
USBメモリを挿し直せばそのときだけ機能しますが再起動で使えなくなりました。
Windows XP Home SP3
セキュリティソフト はNIS2008 とWindows Defenderを入れてます。
対策として入れていた、手製のAutorun.infが機能しなくなりました。
下記レジストリにキャッシュされた"Autorun"の値が"_Autorun"になってます。HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
USBメモリを挿し直せばそのときだけ機能しますが再起動で使えなくなりました。
Windows XP Home SP3
セキュリティソフト はNIS2008 とWindows Defenderを入れてます。
Posted by Kuroneko at 2009年01月16日 23:19
今確認したところ、OSインストール後にWindows UpdateもしていないXP SP2で _AutorunStatusでした。
自分ならばドライブのプロパティから自動再生タブを開いて「内容の種類」を確認するかな。
次に、autorun.infを阻害するサードパーティのソフトウェアを探すとか。
余談だけど、こちらではKB950582をインストールしても効果が無い理由がわからず。
(プログラムの追加と削除にKB950582は表示されてる)
困ってます。
自分ならばドライブのプロパティから自動再生タブを開いて「内容の種類」を確認するかな。
次に、autorun.infを阻害するサードパーティのソフトウェアを探すとか。
余談だけど、こちらではKB950582をインストールしても効果が無い理由がわからず。
(プログラムの追加と削除にKB950582は表示されてる)
困ってます。
Posted by Luca at 2009年01月17日 15:32
あ、一番基本的な話を忘れてました。
>自分ならば
コントロールパネルから(導入したパッチの日付を調べて)一つずつ調べたりアンインストールするやも。
>自分ならば
コントロールパネルから(導入したパッチの日付を調べて)一つずつ調べたりアンインストールするやも。
Posted by Luca at 2009年01月17日 21:39
確認していただいてありがとうございます。
ごめんなさい。
再起動後に レジストリで MountPoints2\{XXX……}\Shell\ 以下のAutoRunやexploreが無くなっていたので、勘違いしたようです。
今までは再起動後も自動で削除されなかったと思うのですが…この記憶も怪しくなってきましたね。
自分のところではKB950582有効です。
USB挿入するとレジストリの MountPoints2以下にAutoRun情報が記入されてAutoRun.infの内容が有効になり、レジストリを削除すると無効になります。
KB950582を入れると、USB挿入時にMountPoints2以下への書き込みはなくなり、AutoRun.infを回避します。
KB950582で設定されたポリシーの
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
HonorAutorunSetting の値を0にすると USB挿入時 MountPoints2以下への書き込みが行われ、ダブルクリック等でexeを起動するできるようになります。
ごめんなさい。
再起動後に レジストリで MountPoints2\{XXX……}\Shell\ 以下のAutoRunやexploreが無くなっていたので、勘違いしたようです。
今までは再起動後も自動で削除されなかったと思うのですが…この記憶も怪しくなってきましたね。
自分のところではKB950582有効です。
USB挿入するとレジストリの MountPoints2以下にAutoRun情報が記入されてAutoRun.infの内容が有効になり、レジストリを削除すると無効になります。
KB950582を入れると、USB挿入時にMountPoints2以下への書き込みはなくなり、AutoRun.infを回避します。
KB950582で設定されたポリシーの
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
HonorAutorunSetting の値を0にすると USB挿入時 MountPoints2以下への書き込みが行われ、ダブルクリック等でexeを起動するできるようになります。
Posted by Kuroneko at 2009年01月17日 23:02
新規開拓で入ったネットカフェで
ヤバそうなPCに遭遇しました。
1)autorun.inf は、exeファイル起動
2)起動するのはエクセル偽装ファイル
「ファイル名.xls.exe」
アイコンは、エクセルと同じ
3)両ファイルを削除しても、直ちに自動的に再作成
家PCのOSドライブをバックアップしてから
差してみました。
ノートンが反応して処理してくれましたが・・・
次回のPCも同じだったら、
この系列は出入禁止にします。
ヤバそうなPCに遭遇しました。
1)autorun.inf は、exeファイル起動
2)起動するのはエクセル偽装ファイル
「ファイル名.xls.exe」
アイコンは、エクセルと同じ
3)両ファイルを削除しても、直ちに自動的に再作成
家PCのOSドライブをバックアップしてから
差してみました。
ノートンが反応して処理してくれましたが・・・
次回のPCも同じだったら、
この系列は出入禁止にします。
Posted by anju at 2009年01月21日 09:21
お疲れ様です。
ネカフェなど不特定多数の人物が出入りする場所では、やはり多いんでしょうね。
SDカードやUSB接続の音楽機器なども気にかかります。
かなりのスピードで新たな変種(または名称のみを変えたもの)が多く出現しているようですね。
こちらも対処に苦慮しております。
1台に複数の変種(?)が感染しているものもありました。
ネカフェなど不特定多数の人物が出入りする場所では、やはり多いんでしょうね。
SDカードやUSB接続の音楽機器なども気にかかります。
かなりのスピードで新たな変種(または名称のみを変えたもの)が多く出現しているようですね。
こちらも対処に苦慮しております。
1台に複数の変種(?)が感染しているものもありました。
Posted by Luca at 2009年01月21日 20:11
ちょい更新しました。
かなりの台数を処理した印象として。
1)システムの復元による勝負は、大抵の場合失敗する。
2)Windows上でのHijackThis実行、ログ取得。O4エントリのファイルを実際に確かめる。
3)その後はKNOPPIXやその他のブータブルCDで起動しての感染確認・ファイル削除がスムーズですね。
かなりの台数を処理した印象として。
1)システムの復元による勝負は、大抵の場合失敗する。
2)Windows上でのHijackThis実行、ログ取得。O4エントリのファイルを実際に確かめる。
3)その後はKNOPPIXやその他のブータブルCDで起動しての感染確認・ファイル削除がスムーズですね。
Posted by Luca at 2009年01月21日 20:52
気になるのは・・・
私の知ってるネカフェは
「再起動かけると、初回起動時のPCに戻す」様になっています。
従って、ネカフェ側による「戻る状況」を作成した時点で
今回の様な状況に「既になっている」という事です。
もしこれが本当に「悪さするヤツ」であるとすると
ネカフェさんが「感染した状態をバックアップ」している
という事になります。
「業として提供」であるなら
「安全なPCを客に提供」して欲しいものです
私の知ってるネカフェは
「再起動かけると、初回起動時のPCに戻す」様になっています。
従って、ネカフェ側による「戻る状況」を作成した時点で
今回の様な状況に「既になっている」という事です。
もしこれが本当に「悪さするヤツ」であるとすると
ネカフェさんが「感染した状態をバックアップ」している
という事になります。
「業として提供」であるなら
「安全なPCを客に提供」して欲しいものです
Posted by anju at 2009年01月22日 09:33
http://www.cert.org/blogs/vuls/2008/04/the_dangers_of_windows_autorun.html
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
でどうですかー?
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
でどうですかー?
Posted by 通りすがり at 2009年01月22日 13:05
>anjuさん
一昔前に、ネカフェではウイルス対策ソフトウェアは不要ではないかとの議論がありました。
「どうせすぐ戻せるから」と。
anjuさんの話って、かなりのリスクがありませんか。
ここでのコメントに終わるのももったいなく。
是非ともこのような問題を、啓蒙的な内容として自身のサイトにて訴えかけてみては。
完成したら、メチャクチャ宣伝させてもらいますよ。
一昔前に、ネカフェではウイルス対策ソフトウェアは不要ではないかとの議論がありました。
「どうせすぐ戻せるから」と。
anjuさんの話って、かなりのリスクがありませんか。
ここでのコメントに終わるのももったいなく。
是非ともこのような問題を、啓蒙的な内容として自身のサイトにて訴えかけてみては。
完成したら、メチャクチャ宣伝させてもらいますよ。
Posted by Luca at 2009年01月22日 19:36
>通りすがりさん
情報ありがとうございます。
原文を読むと、その他にも既存のレジストリを削除しなければならないようですね。
ちょい試してみます。
情報ありがとうございます。
原文を読むと、その他にも既存のレジストリを削除しなければならないようですね。
ちょい試してみます。
Posted by Luca at 2009年01月22日 19:37
素晴らしいじゃないですか、これって。
バッチファイルにすると、こんな感じ。
@echo off
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /f /ve /t reg_sz /d @SYS:DoesNotExist
rem
exit
バッチファイルにすると、こんな感じ。
@echo off
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /f /ve /t reg_sz /d @SYS:DoesNotExist
rem
exit
Posted by Luca at 2009年01月22日 20:34
目から鱗のような、衝撃ですよ、これって。
この1ヶ月間試行錯誤してきた自分の努力が、一瞬にして消し飛びました。
。。。。うーむ。凄すぎる。
この1ヶ月間試行錯誤してきた自分の努力が、一瞬にして消し飛びました。
。。。。うーむ。凄すぎる。
Posted by Luca at 2009年01月22日 20:37
この1ヶ月の軌跡として。
openコマンドではなく、shell=openが感染の主体と考えて試行錯誤して。
KB950582はXP SP3では無効、XP SP2では大多数が有効(推察としてMS関連の他のツール導入時にはXP SP2時に無効になる)
http://support.microsoft.com/kb/953252/ja
これを試し。
home版だと使えないとか、USBメモリーキーをリムーバルメディア以外のものに認識してしまい効果が無い例とか。
http://www.itmedia.co.jp/news/articles/0901/21/news016.html
これに指摘されているように、新規に接続したメディアは漏れるとか。
Vistaは初期状態では喰らうけど、Windows Updateを行っている最新状態では(何故か)shell=openが無効化されているとか。
訳わからない状態で、困っていたんですよ。
いっそまめFileでも薦めるかとか。
openコマンドではなく、shell=openが感染の主体と考えて試行錯誤して。
KB950582はXP SP3では無効、XP SP2では大多数が有効(推察としてMS関連の他のツール導入時にはXP SP2時に無効になる)
http://support.microsoft.com/kb/953252/ja
これを試し。
home版だと使えないとか、USBメモリーキーをリムーバルメディア以外のものに認識してしまい効果が無い例とか。
http://www.itmedia.co.jp/news/articles/0901/21/news016.html
これに指摘されているように、新規に接続したメディアは漏れるとか。
Vistaは初期状態では喰らうけど、Windows Updateを行っている最新状態では(何故か)shell=openが無効化されているとか。
訳わからない状態で、困っていたんですよ。
いっそまめFileでも薦めるかとか。
Posted by Luca at 2009年01月22日 20:46
こういった、エンドユーザーの環境ごとの違いによる例外的ルールの多さのため、どーやったら普遍的な対策が立てられるのかと、途方に暮れておりました。
大元のautorun.infを潰すという、目から鱗な手法で、あっけなく解決し。
「自分の時間と労力を返せー!」と嘆きつつ。
嬉しい笑みを漏らしています。
素晴らしい!
大元のautorun.infを潰すという、目から鱗な手法で、あっけなく解決し。
「自分の時間と労力を返せー!」と嘆きつつ。
嬉しい笑みを漏らしています。
素晴らしい!
Posted by Luca at 2009年01月22日 20:53
ほんとに目から鱗ですよねー♪
この自動実行対策の分野に関しては、複数環境作って、テストしなきゃいけなくて、みんな苦しんでましたから。
Lucaさん、せっかくなんで情報まとめてどこかに公開されてみては?
まだ日本語でまとまってあがってるとこは、ないみたいですし。
この自動実行対策の分野に関しては、複数環境作って、テストしなきゃいけなくて、みんな苦しんでましたから。
Lucaさん、せっかくなんで情報まとめてどこかに公開されてみては?
まだ日本語でまとまってあがってるとこは、ないみたいですし。
Posted by 通りすがり 改め knani at 2009年01月23日 11:25
あー、あとそれからダミーフォルダによる対策は私もよく推奨してたんですが、今はもうダメですねー。
http://www.atmarkit.co.jp/fsecurity/rensai/tipstoday01/tips03.html
しかし、ウイルスの中には「Autorun.inf」と同名のファイル、フォルダが存在しても通用しないものがあるため、この手段は1つの予防策にすぎない点に注意してください。
たぶん、autorun.infってフォルダがあったらリネームしちゃうんじゃないかなと思うんです。
上書きはできなくても、リネームは簡単ですから。
フォルダ自体のアクセス権および所有権をadministratorsグループから削除しちゃえば、リネームさえもできなくなりますが、結局はイタチゴッコってことになっちゃいますね。
http://www.atmarkit.co.jp/fsecurity/rensai/tipstoday01/tips03.html
しかし、ウイルスの中には「Autorun.inf」と同名のファイル、フォルダが存在しても通用しないものがあるため、この手段は1つの予防策にすぎない点に注意してください。
たぶん、autorun.infってフォルダがあったらリネームしちゃうんじゃないかなと思うんです。
上書きはできなくても、リネームは簡単ですから。
フォルダ自体のアクセス権および所有権をadministratorsグループから削除しちゃえば、リネームさえもできなくなりますが、結局はイタチゴッコってことになっちゃいますね。
Posted by knani at 2009年01月23日 12:43
>knaniさん
>リネームしちゃうんじゃないかなと思うんです。
既存のautorun.infをリネームするタイプがありますが、検体を入手しておらず。
自分も同様に興味を持っています。
入手しましたらば、是非とも結果を教えて下さい。
トレンドマイクロではブログなどで、autorun.infのダミーフォルダを推奨しているように見受けられます。
これはリムーバルメディアを開けなくさせる可能性があり。
http://d.hatena.ne.jp/LucaLuca/20071224/p6
私どもならば即座に解決できたとしても、情報が伝言ゲームで伝わった先の者が解決できるとは限りませんから。
そのような理由で、この場には掲載しておりません。
>リネームしちゃうんじゃないかなと思うんです。
既存のautorun.infをリネームするタイプがありますが、検体を入手しておらず。
自分も同様に興味を持っています。
入手しましたらば、是非とも結果を教えて下さい。
トレンドマイクロではブログなどで、autorun.infのダミーフォルダを推奨しているように見受けられます。
これはリムーバルメディアを開けなくさせる可能性があり。
http://d.hatena.ne.jp/LucaLuca/20071224/p6
私どもならば即座に解決できたとしても、情報が伝言ゲームで伝わった先の者が解決できるとは限りませんから。
そのような理由で、この場には掲載しておりません。
Posted by Luca at 2009年01月23日 19:15
以下の記事にコメントしましたが
http://antivirusbbs.hp.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=3380&type=0&space=0&no=0
もともと、本件に寄せたコメントなので
コチラにも書かせて頂きます。
> 新規開拓で入ったネットカフェで
> ヤバそうなPCに遭遇しました。
> 1)autorun.inf は、exeファイル起動
> 2)起動するのはエクセル偽装ファイル
> 「ファイル名.xls.exe」
> アイコンは、エクセルと同じ
> 3)両ファイルを削除しても、直ちに自動的に再作成
のつづきとなります。
再度入って確認してみました。
前回とは別PCでしたが上記3つの挙動は同じでした。
4)「KB953252を実行」は、なされていなかった
XPで言えば、KB953252の中で記されているところのKB950582を実行、をも含む
このPCにTweak UI を落として以下の設定に変更
(つまりは無効に設定)
> Tweak UI で[マイコンピュータ]>[自動再生]>[種類]から、
> * CD/DVDドライブの自動再生を有効にする
> * リムーバブルドライブの自動再生を有効にする
> のチェックを外した場合
(そのまま差した前回は、自宅PCのnortonさんに怒られましたが)
USBは自動実行されず、inf・exe の両ファイルは作成されず
自宅PCのnortonさんも無反応でした。
なおこの挙動PCが、危険な物にやられているのか
nortonさんは怒るけど、「中身を表示させる」等だけの、
実際には問題にはならないものなのかは
定かではありません。
http://antivirusbbs.hp.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=3380&type=0&space=0&no=0
もともと、本件に寄せたコメントなので
コチラにも書かせて頂きます。
> 新規開拓で入ったネットカフェで
> ヤバそうなPCに遭遇しました。
> 1)autorun.inf は、exeファイル起動
> 2)起動するのはエクセル偽装ファイル
> 「ファイル名.xls.exe」
> アイコンは、エクセルと同じ
> 3)両ファイルを削除しても、直ちに自動的に再作成
のつづきとなります。
再度入って確認してみました。
前回とは別PCでしたが上記3つの挙動は同じでした。
4)「KB953252を実行」は、なされていなかった
XPで言えば、KB953252の中で記されているところのKB950582を実行、をも含む
このPCにTweak UI を落として以下の設定に変更
(つまりは無効に設定)
> Tweak UI で[マイコンピュータ]>[自動再生]>[種類]から、
> * CD/DVDドライブの自動再生を有効にする
> * リムーバブルドライブの自動再生を有効にする
> のチェックを外した場合
(そのまま差した前回は、自宅PCのnortonさんに怒られましたが)
USBは自動実行されず、inf・exe の両ファイルは作成されず
自宅PCのnortonさんも無反応でした。
なおこの挙動PCが、危険な物にやられているのか
nortonさんは怒るけど、「中身を表示させる」等だけの、
実際には問題にはならないものなのかは
定かではありません。
Posted by anju at 2009年02月09日 09:45
拝読いたしました。
丁度この2-3日悩んでいるポイントを相談できる好機として、お知恵を拝借できませんか。
1)レジストリエントリ
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
この部分に、かつて接続した機器の情報が残ります。
当該のネカフェでは、初期化されているんでしょうか。
2)Tweak UI
基本的にweak UI での設定は、手動でのレジストリ設定と同じ意味を持つと解釈しております。
操作は「持参したリムーバル機器」を接続した前・または後でしょうか。
3)一応確認のために
>前回とは別PCでしたが上記3つの挙動は同じでした。
Tweak UI 操作前に接続したリムーバル機器には、autorun.infとexeファイルは作成されたんですよね。
4)運営者が感染に気付き、ウイルス対策ソフトウェアの利用・または手動削除したものの、中途半端な状態になってませんか?
質問漬けになってすいません。
先日、ウイルス対策ソフトウェアによる不十分な検出・ファイル隔離の結果として、新規にautorun.infとexeファイルが作成されないまでも、その他のマルウェアが残っているマシンがありました。
ある仮定として、(ある検体では)何らかのイベント - 単純に特定ファイルの削除や、特定レジストリの操作 - を経ると、新規感染が(感染中なのに)止まるんじゃないかな、と考えてます。
丁度この2-3日悩んでいるポイントを相談できる好機として、お知恵を拝借できませんか。
1)レジストリエントリ
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
この部分に、かつて接続した機器の情報が残ります。
当該のネカフェでは、初期化されているんでしょうか。
2)Tweak UI
基本的にweak UI での設定は、手動でのレジストリ設定と同じ意味を持つと解釈しております。
操作は「持参したリムーバル機器」を接続した前・または後でしょうか。
3)一応確認のために
>前回とは別PCでしたが上記3つの挙動は同じでした。
Tweak UI 操作前に接続したリムーバル機器には、autorun.infとexeファイルは作成されたんですよね。
4)運営者が感染に気付き、ウイルス対策ソフトウェアの利用・または手動削除したものの、中途半端な状態になってませんか?
質問漬けになってすいません。
先日、ウイルス対策ソフトウェアによる不十分な検出・ファイル隔離の結果として、新規にautorun.infとexeファイルが作成されないまでも、その他のマルウェアが残っているマシンがありました。
ある仮定として、(ある検体では)何らかのイベント - 単純に特定ファイルの削除や、特定レジストリの操作 - を経ると、新規感染が(感染中なのに)止まるんじゃないかな、と考えてます。
Posted by Luca at 2009年02月09日 18:41
早速、寄ってみましたが、今回のマシンは、例の挙動がありませんでした。
一応ご報告まで
> 1)レジストリエントリ
レジストリは詳しくありませんが、パッと見では、初期化されている様です。
また、USBを差すと”E なるフォルダ(?)があらわれ、再起動で消滅しました。
(本日のマシンに関しては・・・
例のマシンは不明ですが、同じ方法で再起動後の状態に戻すと推察します。)
> 2)Tweak UI
> 操作は「持参したリムーバル機器」を接続した前・または後でしょうか。
その日行った事を以下に。
a)USBメモリ差して確認 <おおっまた同じだ>
b)再起動して、tweak をセットアップして設定
c)別のUSBメモリを差す。<作成されず>
d)家にて・・・ a は怒られた。 b は怒られず。
> 3)一応確認のために
> >前回とは別PCでしたが上記3つの挙動は同じでした。
> Tweak UI 操作前に接続したリムーバル機器には、autorun.infとexeファイルは作成されたんですよね。
はい、上記のとおりです
> 4)運営者が感染に気付き(以後略)
こちらはわかりませんが、聞くのも気がひけます。
なにせ
規約に「当店は飲食店としてご利用いただいています」
本日のマシンは”ノーガードPC”です。(ノートンのliveupdateの残骸あり)
多分他も同じでしょう。
推察するに、「NAVプリインストールのマシン」からアンチウイルスだけ
アンインストールしたのでは??
席番までは覚えていないので、いつ遭遇できるかわかりませんが
出会ったら、確認しておきます。
一応ご報告まで
> 1)レジストリエントリ
レジストリは詳しくありませんが、パッと見では、初期化されている様です。
また、USBを差すと”E なるフォルダ(?)があらわれ、再起動で消滅しました。
(本日のマシンに関しては・・・
例のマシンは不明ですが、同じ方法で再起動後の状態に戻すと推察します。)
> 2)Tweak UI
> 操作は「持参したリムーバル機器」を接続した前・または後でしょうか。
その日行った事を以下に。
a)USBメモリ差して確認 <おおっまた同じだ>
b)再起動して、tweak をセットアップして設定
c)別のUSBメモリを差す。<作成されず>
d)家にて・・・ a は怒られた。 b は怒られず。
> 3)一応確認のために
> >前回とは別PCでしたが上記3つの挙動は同じでした。
> Tweak UI 操作前に接続したリムーバル機器には、autorun.infとexeファイルは作成されたんですよね。
はい、上記のとおりです
> 4)運営者が感染に気付き(以後略)
こちらはわかりませんが、聞くのも気がひけます。
なにせ
規約に「当店は飲食店としてご利用いただいています」
本日のマシンは”ノーガードPC”です。(ノートンのliveupdateの残骸あり)
多分他も同じでしょう。
推察するに、「NAVプリインストールのマシン」からアンチウイルスだけ
アンインストールしたのでは??
席番までは覚えていないので、いつ遭遇できるかわかりませんが
出会ったら、確認しておきます。
Posted by anju at 2009年02月09日 21:31
例のネカフェで、より怪しいマシンに遭遇
(記憶が確かなら、
2/9に何ともなかったハズなので、より怪しくなった??)
「全てのファイルを表示」を適用した瞬間に
「隠しを表示しない」に戻されてしまうものです。
(カフェによる設定変更か、感染によるものかは不明)
後で別のネカフェ(全台avast入り)で確認した処
「テキストとして読めない」autorun.infがあり
exe等のファイルは作成されていませんでした。
ちなみに接続時にavastは無反応で、先の挙動も感染しませんでした。
念のため、ファイル保管用にココでLZH3重圧縮して、保存しました。
ウイルスバスターで、POSSIBLE_Otorun.B
(一連のAUTORUNかも知れないよ、との検出名)
ノートン(NIS)で、W32.DOWNLOADUP!AUTORUN
例のネカフェが、経営譲渡の形で名前・システムが変わる
との掲示がされていました。
怪しいマシン多数のまま、「入会金出せ」だとしたら
もうココに行く気にはなれません。
中途半端ではありますが、このカフェの件は
終了とさせて下さい。
(記憶が確かなら、
2/9に何ともなかったハズなので、より怪しくなった??)
「全てのファイルを表示」を適用した瞬間に
「隠しを表示しない」に戻されてしまうものです。
(カフェによる設定変更か、感染によるものかは不明)
後で別のネカフェ(全台avast入り)で確認した処
「テキストとして読めない」autorun.infがあり
exe等のファイルは作成されていませんでした。
ちなみに接続時にavastは無反応で、先の挙動も感染しませんでした。
念のため、ファイル保管用にココでLZH3重圧縮して、保存しました。
ウイルスバスターで、POSSIBLE_Otorun.B
(一連のAUTORUNかも知れないよ、との検出名)
ノートン(NIS)で、W32.DOWNLOADUP!AUTORUN
例のネカフェが、経営譲渡の形で名前・システムが変わる
との掲示がされていました。
怪しいマシン多数のまま、「入会金出せ」だとしたら
もうココに行く気にはなれません。
中途半端ではありますが、このカフェの件は
終了とさせて下さい。
Posted by anju at 2009年03月02日 10:46
>「全てのファイルを表示」を適用した瞬間に
>「隠しを表示しない」に戻されてしまうものです。
>(カフェによる設定変更か、感染によるものかは不明)
感染時によくある症状ですよ、それって。
ついでに言うと、あるファイルのみを検出したとしてもその手の症状が残るパソコンもあったりして、リカバリー。
ここに掲載できない情報もあるんですが、一応。
配布者が既存のウイルス対策ソフトウェアの検出回避を狙っているケースもありますから。
現時点では、複合感染を疑い最善を尽くすほか無いんだろうかと。
ネットカフェでどー管理されているのかと、興味が尽きないところでありますが。
感染時のイメージファイルを元に差し戻しされているならば、どうしょうも無い脅威ですね。
>「隠しを表示しない」に戻されてしまうものです。
>(カフェによる設定変更か、感染によるものかは不明)
感染時によくある症状ですよ、それって。
ついでに言うと、あるファイルのみを検出したとしてもその手の症状が残るパソコンもあったりして、リカバリー。
ここに掲載できない情報もあるんですが、一応。
配布者が既存のウイルス対策ソフトウェアの検出回避を狙っているケースもありますから。
現時点では、複合感染を疑い最善を尽くすほか無いんだろうかと。
ネットカフェでどー管理されているのかと、興味が尽きないところでありますが。
感染時のイメージファイルを元に差し戻しされているならば、どうしょうも無い脅威ですね。
Posted by Luca at 2009年03月03日 02:17
お久しぶりで〜す
> 新規開拓で入ったネットカフェで
> ヤバそうなPCに遭遇しました。
> 1)autorun.inf は、exeファイル起動
> 2)起動するのはエクセル偽装ファイル
> 「ファイル名.xls.exe」
> アイコンは、エクセルと同じ
> 3)両ファイルを削除しても、直ちに自動的に再作成
結局、場所的に便利なので、店変更後に入会してしまいました(汗
店員の顔ぶれも変わらず、マシンの状態も変わっていない
感じでした。
看板の掛け替えだけの様です。(どこぞの政党かいな)
今回は、画面右下にあるadobe風の何かのマークがあり(写真関連のソフト?)
とりあえず、右クリック終了させました。
(スタートアップにセットされている様です)
で、USBメモリを差しましたが、何も作られず・・・
家ノートンでも怒られず・・・
他のUSBメモリが無かったので、確かめませんでしたが
1.復元される状態を、作り直したのか?
2.このadobeが autorun.inf 等を作っているのか?
そして悪さをする訳じゃないが、ノートン/バスターが
大げさに検出しているのか
3.adobeを装った、怪しい物なのか?
で、ノートン/バスターが検出してくれているのか
また探ってみます。
> 新規開拓で入ったネットカフェで
> ヤバそうなPCに遭遇しました。
> 1)autorun.inf は、exeファイル起動
> 2)起動するのはエクセル偽装ファイル
> 「ファイル名.xls.exe」
> アイコンは、エクセルと同じ
> 3)両ファイルを削除しても、直ちに自動的に再作成
結局、場所的に便利なので、店変更後に入会してしまいました(汗
店員の顔ぶれも変わらず、マシンの状態も変わっていない
感じでした。
看板の掛け替えだけの様です。(どこぞの政党かいな)
今回は、画面右下にあるadobe風の何かのマークがあり(写真関連のソフト?)
とりあえず、右クリック終了させました。
(スタートアップにセットされている様です)
で、USBメモリを差しましたが、何も作られず・・・
家ノートンでも怒られず・・・
他のUSBメモリが無かったので、確かめませんでしたが
1.復元される状態を、作り直したのか?
2.このadobeが autorun.inf 等を作っているのか?
そして悪さをする訳じゃないが、ノートン/バスターが
大げさに検出しているのか
3.adobeを装った、怪しい物なのか?
で、ノートン/バスターが検出してくれているのか
また探ってみます。
Posted by anju at 2009年09月07日 13:48
# 画面右下にあるadobe風の何かのマークがあり(写真関連のソフト?)
# とりあえず、右クリック終了させました。
# (スタートアップにセットされている)
# で、USBメモリを差しましたが、何も作られず・・・
# 家ノートンでも怒られず・・・
類似マシンにあたりました。
終了させてUSBを差した。
再起で終了させずにUSBを差した。
いずれも何も作られず、怒られずでした
このマシンは正常で、おまけに
真っ当なadobeソフトの様です。
次からは空いてたらこの席を指定しようかなぁ
# とりあえず、右クリック終了させました。
# (スタートアップにセットされている)
# で、USBメモリを差しましたが、何も作られず・・・
# 家ノートンでも怒られず・・・
類似マシンにあたりました。
終了させてUSBを差した。
再起で終了させずにUSBを差した。
いずれも何も作られず、怒られずでした
このマシンは正常で、おまけに
真っ当なadobeソフトの様です。
次からは空いてたらこの席を指定しようかなぁ
Posted by anju at 2009年10月02日 11:47
