2009年01月25日 - autorun.inf - ウイルス対策とUSB接続機器の安全な利用法
USBメモリや外付けハードディスク、リムーバブルメディアを媒介したウイルス感染について、相談される機会が急増している。
自分はいかなる保証もできないし、100%の確実性をもって掲載するのではない点をご容赦願いたい。
わずかな(時には大きな)環境の違いが、挙動や動作 - そして感染するか否かを左右するからだ。
多くの例外があり、ユーザーの数だけ不安定な要素がある。
「次回も同じ動作」としたためとか、あるソフトウェアをインストールしたために対策パッチがとか、USB接続機器なのに他のデバイスとして認識されるとか。そういった理由なのかな。
US-CERT Vulnerability Note VU#889747 の日本語訳(葉っぱ日記)やVulnerability Analysis Blog: The Dangers of Windows AutoRunの日本語訳(葉っぱ日記)をあわせて読んでもらいたい。
感染したパソコンには、新たにautorun.infと実行形式ファイルが作成され、汚染されたメディアが続々と生産されるだろう。
感染後にはリムーバブルメディア中のマルウェアをパソコンにコピーする。
最近流行しているものは、新たな複数の実行形式ファイルなどを作成して汚染したり、ネット経由で新たなマルウェアをダウンロードする。
対処を困難にさせる活動として、パソコンの動作を極端に重くさせて何もできない状態に貶め、特定ファイルをルートキットで隠蔽、レジストリを操作し(更には設定変更後に自動的に修復前の状態に戻して!)ファイルを隠蔽させる。
だが自分としては、正直言ってあまり推奨できない。
1) XP向けのMicrosoft「Windows XP 用の更新プログラム (KB950582)」の導入は、確実な対策とはならない。
(あくまでも自分の体験談に過ぎないが)個体差があり、Windows XP SP2では2台に効果が無かった。またXP SP3では3台全てに効果が無かった。
2) グループポリシーはXP Professionalでは有効であった、だがホームユーザー向けのWindows XP Home Editionでは使えない。
3) NoDriveTypeAutoRunの設定は、不完全であるとのレポートもある。
そう言えばメディアのタイプをWindowsは(何故か)たまに間違って識別する場合があるが、どうなるんだろうか。
はせがわ氏が和訳をVulnerability Analysis Blog: The Dangers of Windows AutoRunの日本語訳(葉っぱ日記)に掲載しており、面白いのでじっくりと読んでもらいたい。
この方法はUSBメモリだけではなく、USB接続のハードディスクや、CD-ROM、SDカードなどのautorun.infまでをも無効化する。
前述のKB 953252と根本的に違うのは、前者がWindows OSに新たなデバイスを接続した際の挙動を制御する目的であるのに対して、これはautorun.infそのものを無効化するという点であり、方向性が全く違う。
元記事で記載されているレジストリ操作を自動化するバッチファイルを作成した。
XPとVista各バージョン・SPの20台以上でテストし、有効に機能するのを確認している。だが他のWindows OSでは試していないため、いかなる責任もとれない。
autorunstopよりダウンロードして利用してもらいたい。
具体的には以下の2つのレジストリエントリを操作する。
利用する前には、XPとVISTAではシステムの復元機能から復元ポイントを作成し。重要なファイルはバックアップし。各自の責任で実行してもらいたい。
ただし、autorun.infを利用するCD-ROMやDVDでは、自動実行(自動再生)機能が無効になるから、これまで通りの利用はできなくなるのが欠点。
例として、CD-ROMを開いて、setup.exeとかinstall.exeを直接ダブルクリックして起動しなければならなくなるし。
またフォトCDでは、CD-ROMを開いてhtmlファイルを手動で開かねばならないだろう。
(CD-Rなどのトラップも防げるだろう!とポジティブシンキングしてほしい)
パソコンに接続したり、マイコンピュータを開きドライブをクリックして実感してもらいたい。
USBメモリーは可能であれば未使用のものを利用してくれ。
(autoruntest.zipとしてアップロードしておいた)
autorun.infは、以下の内容とする。
autoruntest.batは、以下の内容とする。
autorun.infについての詳細はAutorun.inf Entries (Microsoft)を読んでもらいたい。
open=hbs.exeは、メディアをパソコンに接続した時の自動再生機能により、hbs.exeを実行させるものだ。
よくShiftキーを押しっぱなしにすれば回避できると言われるが、実はそのような風説は正確ではない。細かい点については後述する。
shell\open、これはマイコンピュータを開き、USBリムーバブルメディアのアイコンをダブルクリックした時点で実行される。
XPとVISTAでは、USBメモリーを開いただけで感染する可能性がある
マイコンピュータを開き、リムーバブルメディアを開いて。。。。。。これだけで感染してしまうケースだ。
笑えない話として、感染しているか確認するため数十のUSBメモリーキーを開きまくって、感染規模が拡大したケースがあった。
自分が依頼された多くの駆除作業の実感としては、openではなく shell\open、こちらがメジャーな感染タイミングとなっている感触がある。
依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を(トレンドマイクロセキュリティブログ)なる記事があったので、引用して紹介する。
他にも、ウイルス騒動(Okumura's Blog)などで同種の報告があるようだ。
Shiftキーを押せば自動実行をブロックできるとのアドバイスは適切ではない。
Windows XPでは、openコマンド(接続時に稼動)はUSB接続機器では実行されない。だからShiftキーを押しても意味が無い。
またWindows VISTAでは、openコマンド(接続時に稼動)はUSB接続機器で実行される。だがShiftキーによるキャンセルが効かないのだ。
だが、Microsoft Updateを行い最新の状態にすると、autorun.infは無効化されるものと無効化されないパソコンがある。
理由はわからない。
MountPoints2絡みなんだろうか。それともメディアタイプ(画像、プログラム、その他)?
ノートパソコンのスロットにSDカードを接続。。。。。感染、と。
興味深い話があったので、紹介する。
自分の管理外のパソコンに接続するには、そのような製品を選べば「お土産」をもらってくる心配は無いだろう。
是非とも1つ購入してもらいたいと熱く薦める
余談として、店頭で販売されているUSBメモリーキーとしては、buffalo(メルコ)の製品以外にはライトプロテクト機能が無かったのには驚いた。
Knightウイルス感染でUSBメモリが開けない(LucaBlog, 2007年12月24日)
警視庁のネットワークで感染拡大したW32.Downadup.B(Symantec)のように、LANの共有リソースをクラックして感染拡大するものもある。
Microsoftによるアドバイザリは、例外 - つまり期待された設定通りにいかない事例が多々見受けられる。
The Dangers of Windows AutoRun (CERT)のように、Autorun.infそのものを無効化する手法が有用。
正直な話として、エンドユーザーごとの環境の違いにより、ここまで動作が異なるともうお手上げ。
自分はいかなる保証もできないし、100%の確実性をもって掲載するのではない点をご容赦願いたい。
わずかな(時には大きな)環境の違いが、挙動や動作 - そして感染するか否かを左右するからだ。
USB機器経由感染について
USB機器経由感染とWindows OSの挙動
最近流行しているタイプとOSごとの違いを簡単に説明する。- Windows XP
- 1)USB機器を接続しただけでは感染はしない
- (個人サポートで接続しただけと訴える例があったが、検証できていない)
- 2)マイコンピュータを開きダブルクリックして開くと感染する
- Windows VISTA
- 1)設定によっては、USB機器を接続しただけで感染
- Shiftキーによる自動実行キャンセルは効果が無い
- 2)マイコンピュータを開きダブルクリックして開くと感染する
- Microsoft Updateを行い最新の状態にすると、自動実行が無効化される(例外あり?)
多くの例外があり、ユーザーの数だけ不安定な要素がある。
「次回も同じ動作」としたためとか、あるソフトウェアをインストールしたために対策パッチがとか、USB接続機器なのに他のデバイスとして認識されるとか。そういった理由なのかな。
US-CERT Vulnerability Note VU#889747 の日本語訳(葉っぱ日記)やVulnerability Analysis Blog: The Dangers of Windows AutoRunの日本語訳(葉っぱ日記)をあわせて読んでもらいたい。
感染活動の概要
リムーバブルメディアのルートディレクトリ中に作成されるautorun.infと、それにより自動実行される実行形式ファイルの組み合わせにより、感染活動が行われる。感染したパソコンには、新たにautorun.infと実行形式ファイルが作成され、汚染されたメディアが続々と生産されるだろう。
感染後にはリムーバブルメディア中のマルウェアをパソコンにコピーする。
最近流行しているものは、新たな複数の実行形式ファイルなどを作成して汚染したり、ネット経由で新たなマルウェアをダウンロードする。
対処を困難にさせる活動として、パソコンの動作を極端に重くさせて何もできない状態に貶め、特定ファイルをルートキットで隠蔽、レジストリを操作し(更には設定変更後に自動的に修復前の状態に戻して!)ファイルを隠蔽させる。
autorun.inf - 自動実行を予防する、具体的な対策について
KB 953252 - Microsoftによるガイドは不完全?
Windows で強制"無効"に自動実行レジストリ キーを修正する方法(Microsoft)には幾つかの方法が掲載されている。だが自分としては、正直言ってあまり推奨できない。
1) XP向けのMicrosoft「Windows XP 用の更新プログラム (KB950582)」の導入は、確実な対策とはならない。
(あくまでも自分の体験談に過ぎないが)個体差があり、Windows XP SP2では2台に効果が無かった。またXP SP3では3台全てに効果が無かった。
2) グループポリシーはXP Professionalでは有効であった、だがホームユーザー向けのWindows XP Home Editionでは使えない。
3) NoDriveTypeAutoRunの設定は、不完全であるとのレポートもある。
また、NoDriveTypeAutorunのレジストリの値を「0xFF」にしても、ユーザーがWindows Explorerでデバイスのアイコンをクリックすれば、任意のコードが実行されることがあるとしている。 機能するやり方を:「MSのAutorun無効化方法は不適切」とUS-CERTが指摘(ITmedia)原文はMicrosoft Windows Does Not Disable AutoRun Properly(US-CERT)
そう言えばメディアのタイプをWindowsは(何故か)たまに間違って識別する場合があるが、どうなるんだろうか。
Autorun.infを完全に無効化する - XPとVISTA向けガイド
The Dangers of Windows AutoRun (CERT)に掲載されている内容より。はせがわ氏が和訳をVulnerability Analysis Blog: The Dangers of Windows AutoRunの日本語訳(葉っぱ日記)に掲載しており、面白いのでじっくりと読んでもらいたい。
この方法はUSBメモリだけではなく、USB接続のハードディスクや、CD-ROM、SDカードなどのautorun.infまでをも無効化する。
前述のKB 953252と根本的に違うのは、前者がWindows OSに新たなデバイスを接続した際の挙動を制御する目的であるのに対して、これはautorun.infそのものを無効化するという点であり、方向性が全く違う。
元記事で記載されているレジストリ操作を自動化するバッチファイルを作成した。
XPとVista各バージョン・SPの20台以上でテストし、有効に機能するのを確認している。だが他のWindows OSでは試していないため、いかなる責任もとれない。
autorunstopよりダウンロードして利用してもらいたい。
具体的には以下の2つのレジストリエントリを操作する。
利用する前には、XPとVISTAではシステムの復元機能から復元ポイントを作成し。重要なファイルはバックアップし。各自の責任で実行してもらいたい。
ただし、autorun.infを利用するCD-ROMやDVDでは、自動実行(自動再生)機能が無効になるから、これまで通りの利用はできなくなるのが欠点。
例として、CD-ROMを開いて、setup.exeとかinstall.exeを直接ダブルクリックして起動しなければならなくなるし。
またフォトCDでは、CD-ROMを開いてhtmlファイルを手動で開かねばならないだろう。
(CD-Rなどのトラップも防げるだろう!とポジティブシンキングしてほしい)
autorun.inf - リムーバブルメディアでの感染を再現して体験する
メモ帳(notepad)を起動し、autorun.infとautoruntest.batの名称で保存し、USBメモリーキー中に入れ。パソコンに接続したり、マイコンピュータを開きドライブをクリックして実感してもらいたい。
USBメモリーは可能であれば未使用のものを利用してくれ。
(autoruntest.zipとしてアップロードしておいた)
autorun.infは、以下の内容とする。
autoruntest.batは、以下の内容とする。
autorun.infの自動実行(自動再生)について詳しく
autorun.infと自動再生、自動実行
先日捕獲した検体のautorun.infより、検出避け目的のコメント行(セミコロンが行頭にある行)などを除いて転載する。autorun.infについての詳細はAutorun.inf Entries (Microsoft)を読んでもらいたい。
open=hbs.exeは、メディアをパソコンに接続した時の自動再生機能により、hbs.exeを実行させるものだ。
よくShiftキーを押しっぱなしにすれば回避できると言われるが、実はそのような風説は正確ではない。細かい点については後述する。
shell\open、これはマイコンピュータを開き、USBリムーバブルメディアのアイコンをダブルクリックした時点で実行される。
XPとVISTAでは、USBメモリーを開いただけで感染する可能性がある
マイコンピュータを開き、リムーバブルメディアを開いて。。。。。。これだけで感染してしまうケースだ。
笑えない話として、感染しているか確認するため数十のUSBメモリーキーを開きまくって、感染規模が拡大したケースがあった。
自分が依頼された多くの駆除作業の実感としては、openではなく shell\open、こちらがメジャーな感染タイミングとなっている感触がある。
依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を(トレンドマイクロセキュリティブログ)なる記事があったので、引用して紹介する。
「shellコマンド」はドライブのダブルクリックや右クリックメニューなどをトリガーにしてファイルを自動実行させるものです。
例えば、Windows XPの環境ではCDメディアのみに 「Autorun.inf」内の「openコマンド」が有効になります。つまりWindows XPでは、USBメモリを挿した時点で表示されるダイアログ中に「openコマンド」にあたる選択肢がなく(図6)、この時点で感染することはありません。しかし、「Autorun.inf」内の「shellコマンド」は有効となるため、マイコンピュータ内のドライブアイコンをダブルクリックするとウイルスが呼ばれ感染してしまいます。
一方Windows Vistaでは「Autorun.inf」内の「openコマンド」による有効範囲がCDメディアに加えUSBメモリまで拡大されました。
依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を(トレンドマイクロセキュリティブログ)
他にも、ウイルス騒動(Okumura's Blog)などで同種の報告があるようだ。
Shift(シフト)キーを押しながら接続すれば安全なのか? - openコマンドに関する問題
Shiftキーを押したはずなのに感染したと、先日相談された。Shiftキーを押せば自動実行をブロックできるとのアドバイスは適切ではない。
Windows XPでは、openコマンド(接続時に稼動)はUSB接続機器では実行されない。だからShiftキーを押しても意味が無い。
例えば、Windows XPの環境ではCDメディアのみに 「Autorun.inf」内の「openコマンド」が有効になります。つまりWindows XPでは、USBメモリを挿した時点で表示されるダイアログ中に「openコマンド」にあたる選択肢がなく(図6)、この時点で感染することはありません。
依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を(トレンドマイクロセキュリティブログ)
またWindows VISTAでは、openコマンド(接続時に稼動)はUSB接続機器で実行される。だがShiftキーによるキャンセルが効かないのだ。
Windows XP と違って、Shift キーを押しても自動再生を無視できないのはなぜですか。
自動再生の設計は変更されました。現在は、既定の設定に関係なく、Shift キーを押し続けると自動再生が開きます。
自動再生 よく寄せられる質問(Microsoft)
VISTAの不思議
インストール直後ではUSBメモリーのautorun.infにより実行される。だが、Microsoft Updateを行い最新の状態にすると、autorun.infは無効化されるものと無効化されないパソコンがある。
理由はわからない。
MountPoints2絡みなんだろうか。それともメディアタイプ(画像、プログラム、その他)?
USB接続機器だけじゃない - SDカードなども感染源になる
USBメモリーキーはともかく。デジカメ用の記録メディアはさほど注意は払われないのではなかろうか。「忘年会の画像が欲しいー」「いいよぉー」と。ノートパソコンのスロットにSDカードを接続。。。。。感染、と。
興味深い話があったので、紹介する。
東京・JR立川駅北口にある家電量販店「ビックカメラ立川店」で、デジタルカメラの写真プリント注文機がコンピューターウイルスに感染し、利用者の持ち込んだメモリーカードにも感染が広がっていたことがわかった
(中略)
感染していたのは写真プリント注文機「オーダーキャッチャー」の1台で、画像が記録されたメモリーカードを同機に差し込むことで感染して拡大していく「ワーム型」と呼ばれるウイルスが確認された。
asahi.com via 思いもかけぬ場所での感染 - tomcatの落書き帳 part-4
リムーバブルメディアのライトプロテクト
USBメモリーやSDカードには、ライトプロテクト - つまり書き込み禁止のスイッチがある製品がある。自分の管理外のパソコンに接続するには、そのような製品を選べば「お土産」をもらってくる心配は無いだろう。
是非とも1つ購入してもらいたいと熱く薦める
余談として、店頭で販売されているUSBメモリーキーとしては、buffalo(メルコ)の製品以外にはライトプロテクト機能が無かったのには驚いた。
関連記事
USBメモリ経由で感染するウイルスの、一瞬でできる簡易診断方法(Semplice, 2008年12月27日)Knightウイルス感染でUSBメモリが開けない(LucaBlog, 2007年12月24日)
Conclusion
感染源はUSB接続機器だけではなく、SDカードや、感染中に作成されたCD-Rといった経路もある。警視庁のネットワークで感染拡大したW32.Downadup.B(Symantec)のように、LANの共有リソースをクラックして感染拡大するものもある。
Microsoftによるアドバイザリは、例外 - つまり期待された設定通りにいかない事例が多々見受けられる。
The Dangers of Windows AutoRun (CERT)のように、Autorun.infそのものを無効化する手法が有用。
正直な話として、エンドユーザーごとの環境の違いにより、ここまで動作が異なるともうお手上げ。
更新履歴
2009年2月11日、リムーバブルメディア(removable media)と記載すべき部分をリムーバルメディア(removal media)と記載していた10箇所を修正。凡ミスとはいえ投稿時には気を抜いてはならないと決意する。指摘してくれた方に大変感謝。この記事へのトラックバックURL
http://trackback.blogsys.jp/livedoor/lucanian/51199862
この記事へのトラックバック
昨年末から私の周辺でUSB経由のいわゆる Autorun.inf ウィルス(トロイの木馬)を見かけるようになった。
USB 接続機器を介して拡散するウィルス【だわもん】at 2009年03月08日 09:26
この記事へのコメント
autorun.infの完全無効
斬新というか大胆というか・・・
> ただし、autorun.infを利用するCD-ROMやDVDでは、
> 自動実行(自動再生)機能が無効・・・<以降略
私は、基本的にCD等を自動実行してません。
CD等からソフトをインストールする時も、セットアップファイルを
見つけて行っています。
(わからない時だけ、入れ直して自動実行)
家PCは、完全無効を即採用しま〜す。
ちょっと話がそれますが・・・
(安宿と化している処なんかは別にして)
巷にはネットが利用できる”店”が乱立の兆しがあります。
安全にネット利用が出来る事を売りにした店というか
そろそろ、安全性をある程度担保するしくみが必要になってくるかなあ??
等と思っています。
自分なりの考えで「二度と行くかっ」となったネカフェは
幾つかありますけどね。
ちなみに我が家にはネット環境がありません。(今時??)
また、まとめたり管理する能力がありませんので
”自身のサイト”は、やめておきます。
某セキュリティ雑感、某パクリメモとこちら・・・
私の投稿記事で適当なネタがあれば、存分にご利用下さいな(笑)
斬新というか大胆というか・・・
> ただし、autorun.infを利用するCD-ROMやDVDでは、
> 自動実行(自動再生)機能が無効・・・<以降略
私は、基本的にCD等を自動実行してません。
CD等からソフトをインストールする時も、セットアップファイルを
見つけて行っています。
(わからない時だけ、入れ直して自動実行)
家PCは、完全無効を即採用しま〜す。
ちょっと話がそれますが・・・
(安宿と化している処なんかは別にして)
巷にはネットが利用できる”店”が乱立の兆しがあります。
安全にネット利用が出来る事を売りにした店というか
そろそろ、安全性をある程度担保するしくみが必要になってくるかなあ??
等と思っています。
自分なりの考えで「二度と行くかっ」となったネカフェは
幾つかありますけどね。
ちなみに我が家にはネット環境がありません。(今時??)
また、まとめたり管理する能力がありませんので
”自身のサイト”は、やめておきます。
某セキュリティ雑感、某パクリメモとこちら・・・
私の投稿記事で適当なネタがあれば、存分にご利用下さいな(笑)
Posted by anju at 2009年01月26日 10:39
>斬新というか大胆というか・・・
自分も心から感動しましたよ。
前記事で通りすがりの方よりアドバイスをもらい、はせがわ氏の和訳と原文を読み。
目から鱗で、言葉を失いました。
>そろそろ、安全性をある程度担保するしくみが必要になってくるかなあ??
>等と思っています。
認証制度のようなもの - そしてそれを適切に運用できる監督機関とガイドライン、リテラシーを備えた運用者の高い意識が求められる時代だと、たまーに他所で実感します。
ネカフェまたは公共機関の無料開放されたパソコンなどは、誰がどう管理しているのかと。
不特定多数が触れる・立ち入るならば、何でもアリですから。
(「おっと、クッキーが!」とか、ブラウザの履歴がとか、そんな低いレベルの話ではなく。)
>”自身のサイト”は、やめておきます。
anjuさんが持つ観察力の深さと、既存のレールから一歩離れた独自の視点で熟考できる冷静さや姿勢は、素晴らしいですよ。
某所の回等をぼーっと眺め、そんな感慨を持ってます。
では今後、「そりゃちゃうやろ!」的なブログエントリがありましたらば、バシバシとご指摘下さい。
思いっきり参考にさせてもらいます。
自分も心から感動しましたよ。
前記事で通りすがりの方よりアドバイスをもらい、はせがわ氏の和訳と原文を読み。
目から鱗で、言葉を失いました。
>そろそろ、安全性をある程度担保するしくみが必要になってくるかなあ??
>等と思っています。
認証制度のようなもの - そしてそれを適切に運用できる監督機関とガイドライン、リテラシーを備えた運用者の高い意識が求められる時代だと、たまーに他所で実感します。
ネカフェまたは公共機関の無料開放されたパソコンなどは、誰がどう管理しているのかと。
不特定多数が触れる・立ち入るならば、何でもアリですから。
(「おっと、クッキーが!」とか、ブラウザの履歴がとか、そんな低いレベルの話ではなく。)
>”自身のサイト”は、やめておきます。
anjuさんが持つ観察力の深さと、既存のレールから一歩離れた独自の視点で熟考できる冷静さや姿勢は、素晴らしいですよ。
某所の回等をぼーっと眺め、そんな感慨を持ってます。
では今後、「そりゃちゃうやろ!」的なブログエントリがありましたらば、バシバシとご指摘下さい。
思いっきり参考にさせてもらいます。
Posted by Luca at 2009年01月26日 19:59
リムーバブルメディアを使わなくても substで適当なフォルダを仮想ドライブにマッピングしてやればテストできます
Posted by masa at 2009年01月27日 15:32
ほんとにありがとうございます!
マイコンピュータでドライブをダブルクリックすると
Autorunが働くのをどうしても止めさせたかったのですが、
半年、1年と検索しても全然見つかりませんでした。
(自分の調べ方の問題だったのかもしれませんが…)
XPではUSBメモリを挿しただけじゃプログラムは起動しないはずなのに
検索して出てくる各サイトに載っている方法はどれも自動実行を無効にするもので、
もしかしたら根本的な解決は無理なのではと半ば諦めていました。
こうして、根本的な対策を載せているサイトに巡り合えてありがたいです。
今日、USBメモリによるウイルス感染がひどいと言われていたりしますが、
自動実行を無効にするだけという不完全な対策が各サイトで感染を防ぐ方法として紹介され、
不完全なままで安心してしまっていることが招いた結果でもあるのではと思います。
根本的な対策が広く知られるようになってほしいと願います。
マイコンピュータでドライブをダブルクリックすると
Autorunが働くのをどうしても止めさせたかったのですが、
半年、1年と検索しても全然見つかりませんでした。
(自分の調べ方の問題だったのかもしれませんが…)
XPではUSBメモリを挿しただけじゃプログラムは起動しないはずなのに
検索して出てくる各サイトに載っている方法はどれも自動実行を無効にするもので、
もしかしたら根本的な解決は無理なのではと半ば諦めていました。
こうして、根本的な対策を載せているサイトに巡り合えてありがたいです。
今日、USBメモリによるウイルス感染がひどいと言われていたりしますが、
自動実行を無効にするだけという不完全な対策が各サイトで感染を防ぐ方法として紹介され、
不完全なままで安心してしまっていることが招いた結果でもあるのではと思います。
根本的な対策が広く知られるようになってほしいと願います。
Posted by zyoni at 2009年01月30日 01:28
ウイルス対策掲示板の私の芳しい投稿に対してやっと涌いて出た嫌がらせ投稿は、Lucaさんのお身内でしょうか? それとも某さんのところに御自ら書かれていたような、普段お使いのHNで書けないようなえげつない投稿する時のあなたご自身の変名でしょうか?
Posted by ドリッパ at 2009年02月10日 02:54
あなたに対して嫌がらせをする理由は無いし。
こちらはこのHNまたは本名を除く名称で投稿をする習慣はありません。
こちらはこのHNまたは本名を除く名称で投稿をする習慣はありません。
Posted by Luca at 2009年02月10日 06:39
マイクロソフト セキュリティ アドバイザリ (967940)
Windows Autorun (自動実行) 用の更新プログラム
http://www.microsoft.com/japan/technet/security/advisory/967940.mspx
MSから新たな(ちゃんとした??)対応が公開されましたね。
以下に従え
http://support.microsoft.com/kb/967715
Windows での強制の自動再生 (Autorun) レジストリ キーを無効に"修正する方法
と、よくわからない機械翻訳の文書まで用意して・・・
結局の処
1.更新プログラム(KB697715)をあてる
2.手動操作
が必要みたいですが・・・
やられた人の大多数は、この手順を(少なくともヘンテコ翻訳しかない現段階では)実行できない
のではないか
コレが実行できる人の多くは、そもそもやられていない・やられないのではないか という
気がしてなりません。
また、最終的に「パッチのみでOK」という対応策が出てくれる事を祈らずにはいられません。
Windows Autorun (自動実行) 用の更新プログラム
http://www.microsoft.com/japan/technet/security/advisory/967940.mspx
MSから新たな(ちゃんとした??)対応が公開されましたね。
以下に従え
http://support.microsoft.com/kb/967715
Windows での強制の自動再生 (Autorun) レジストリ キーを無効に"修正する方法
と、よくわからない機械翻訳の文書まで用意して・・・
結局の処
1.更新プログラム(KB697715)をあてる
2.手動操作
が必要みたいですが・・・
やられた人の大多数は、この手順を(少なくともヘンテコ翻訳しかない現段階では)実行できない
のではないか
コレが実行できる人の多くは、そもそもやられていない・やられないのではないか という
気がしてなりません。
また、最終的に「パッチのみでOK」という対応策が出てくれる事を祈らずにはいられません。
Posted by anju at 2009年02月26日 18:27
anjuさんwrote:
>コレが実行できる人の多くは、そもそもやられていない・やられないのではないか という
気がしてなりません。
そうなんですよね。。。。。。。。。。
どうしょうもないとは思えど。
あ、雑談。
どうも理解不能な事例として。
「感染中」または「USBメモリーを接続するとautorun.infとexeまたはcomファイルが作成される」パソコンにてですが。
autorun.infを無効化するautorunstopを使った、またはMSのパッチ導入後のパソコンにて。
CD起動で確認すると、一連のファイルが何故か消えているパソコンを2件確認しました。
自爆と言うか、自動削除機能なんだろうかと。
感染中のハードディスクのコピーを取っておけばよかったんですが、知人サポート時でありましたから残念ながらドボンです。
>コレが実行できる人の多くは、そもそもやられていない・やられないのではないか という
気がしてなりません。
そうなんですよね。。。。。。。。。。
どうしょうもないとは思えど。
あ、雑談。
どうも理解不能な事例として。
「感染中」または「USBメモリーを接続するとautorun.infとexeまたはcomファイルが作成される」パソコンにてですが。
autorun.infを無効化するautorunstopを使った、またはMSのパッチ導入後のパソコンにて。
CD起動で確認すると、一連のファイルが何故か消えているパソコンを2件確認しました。
自爆と言うか、自動削除機能なんだろうかと。
感染中のハードディスクのコピーを取っておけばよかったんですが、知人サポート時でありましたから残念ながらドボンです。
Posted by Luca at 2009年03月03日 02:06
利用させて頂きました、有難うございますm(--)m
Posted by jm at 2009年04月28日 17:47
新しい情報が・・・
Microsoft、AutoRunの設定変更を表明
http://digitallife.jp.msn.com/article/article.aspx/genreid=104/articleid=417702/
# MicrosoftはAutoPlayの動作に変更を加え、CDとDVD以外のリムーバブルメディアを挿入しても
# AutoRunが実行されないようにする。これにより、USBメモリを挿入しても、AutoRunのタスクが
# 表示されてコンテンツが自動的に実行されることはなくなるという。
# AutoRunの設定変更はまずWindows 7のリリース候補(RC版)に盛り込み、
# いずれWindows VistaとWindows XPの更新版もリリースする計画だとしている。
Microsoft、AutoRunの設定変更を表明
http://digitallife.jp.msn.com/article/article.aspx/genreid=104/articleid=417702/
# MicrosoftはAutoPlayの動作に変更を加え、CDとDVD以外のリムーバブルメディアを挿入しても
# AutoRunが実行されないようにする。これにより、USBメモリを挿入しても、AutoRunのタスクが
# 表示されてコンテンツが自動的に実行されることはなくなるという。
# AutoRunの設定変更はまずWindows 7のリリース候補(RC版)に盛り込み、
# いずれWindows VistaとWindows XPの更新版もリリースする計画だとしている。
Posted by anju at 2009年04月30日 11:31
完全に見逃していた有用な情報を教えていただきまして、ありがとうございます。
凄く感謝してます。
ところで、現況では2つ問題があり。
1)VISTAだとbatファイルが効かないケース
→regファイルで直接取り込み?
2)ソフトウェアの光学メディアによっては、autorun.infにより多くの処理をインストール時に行わせる
2-1)例として、某ソフトウェアはautorun.infによってメニューを表示させ、インストーラーを直接ダブルクリックしても正常にインストールできない
2-2)一時的に無効化を解除させる必要がある?
フィードバックをもらいつつ検討し、連休中には上記2点を改善せねばなと。
とは言え、、、、体調が悪く長時間パソコンの前に座るのは、かなり疲れ精神力を要します。
凄く感謝してます。
ところで、現況では2つ問題があり。
1)VISTAだとbatファイルが効かないケース
→regファイルで直接取り込み?
2)ソフトウェアの光学メディアによっては、autorun.infにより多くの処理をインストール時に行わせる
2-1)例として、某ソフトウェアはautorun.infによってメニューを表示させ、インストーラーを直接ダブルクリックしても正常にインストールできない
2-2)一時的に無効化を解除させる必要がある?
フィードバックをもらいつつ検討し、連休中には上記2点を改善せねばなと。
とは言え、、、、体調が悪く長時間パソコンの前に座るのは、かなり疲れ精神力を要します。
Posted by Luca at 2009年05月03日 20:11
始めまして。
被害の多い[Autorun.inf]に関する情報について調べていたところ,
このサイトを見つけました。
早速,[autorun.inf - リムーバブルメディアでの感染を再現して体験する]を
試そうと,[autorun.inf] をコピペしてメモ帳に貼り,保存したところ,
Trend Micro 社の VBCorp. で [MAL_OTORUN1] として検出されました。
自宅の VB2009 でも同様に検出。やっぱ Trend Micro の製品ですね。 w
ちなみに,パタ〜ンファイル番号は最新の 6.149.xx で,その他の
プログラムバ〜ジョン等も総て最新バ〜ジョンです。
おかげで,システム管理者の手先に怒られてしまいました。 W
被害の多い[Autorun.inf]に関する情報について調べていたところ,
このサイトを見つけました。
早速,[autorun.inf - リムーバブルメディアでの感染を再現して体験する]を
試そうと,[autorun.inf] をコピペしてメモ帳に貼り,保存したところ,
Trend Micro 社の VBCorp. で [MAL_OTORUN1] として検出されました。
自宅の VB2009 でも同様に検出。やっぱ Trend Micro の製品ですね。 w
ちなみに,パタ〜ンファイル番号は最新の 6.149.xx で,その他の
プログラムバ〜ジョン等も総て最新バ〜ジョンです。
おかげで,システム管理者の手先に怒られてしまいました。 W
Posted by somo at 2009年05月26日 23:13
はじめまして、泣きべそと申します。
自分は、ウイルスセキュリティZERO USB版とかUSBメモリーからインストールするアプリケーションとかあるから
たとえば、書き込み禁止区域に保存してあるEXEファイルなどは、実行を許可するとか…
あと、このタイプのウイルスってDVD-RAMとかにも感染しそうですね…
自分は、ウイルスセキュリティZERO USB版とかUSBメモリーからインストールするアプリケーションとかあるから
たとえば、書き込み禁止区域に保存してあるEXEファイルなどは、実行を許可するとか…
あと、このタイプのウイルスってDVD-RAMとかにも感染しそうですね…
Posted by 泣きべそ at 2009年07月29日 22:44
