So-net無料ブログ作成
検索選択
USBメモリに感染するウイルス ブログトップ

【USBウイルス wauclt.exe msdtr.exe 】 [USBメモリに感染するウイルス]

このUSBウイルスは恐ろしいことに、WebサイトアクセスのIDパスワードを隠しファイルに記録している。
USBメモリ e:\Recycled\112EF....\FOUND.00AにURLとIDパスワードがことごとく記録されていた。

aaa 

e:\AutoRun.inf
e:\Recycled\explore.exe

がUSBメモリに記録されている。
autorunでウイルスが実行される仕組みだ。

msconfig のスタートアップにウイルス msdtr.exe が登録されている。

msdtr

C:\Documents and Settings\Administrator\Local Settings\Temp に以下のファイルが保存されている。
wauclt.exe
explore.exe
msdtr.exe

1字違いのwuauclt.exeはWindows Updateの実行ファイルだし、explore.exeもexplorer.exeの1字違いなので、タスクマネージャでプロセスリストを見ても判別しづらい。
全て隠しファイルであり、フォルダオプションで「すべてのファイルとフォルダを表示する」を選択しても有効にならない。

削除は、delコマンドをオプション付きで実行する。

del /ahr /p wauclt.exe
それからレジストリエディタで以下の値を全て1にする。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"Hidden"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"ShowSuperHidden"


ウイルスが記録していたウェブサイトのIDパスワードは、どうなったのか?
どこかのサーバにポストされているかもしれない。
このウイルスは、パソコンの使用には影響がないので、IDパスワードを盗まれていても、気が付かないかもしれない。
USBウイルスも沢山種類があるようだ。
前回記事にしたタイプとも違いがある。http://royalwin.blog.so-net.ne.jp/2009-07-06
Windowsを使う以上、アンチウイルスソフトの使用は絶対必要だ。



【USBウイルスの捕獲】 [USBメモリに感染するウイルス]

今日も USBウイルス revo.exe xvassdf.exe を除去した。
以前記事にしたUSBウイルスと同じタイプだが、とりあえずUSBメモリに感染させて持ち帰った。
http://royalwin.blog.so-net.ne.jp/2009-07-06

F:\>dir /ahr
ドライブ F のボリューム ラベルは U2G_X806 です
ボリューム シリアル番号は EAD2-D9F5 です

F:\ のディレクトリ

2009/07/29  08:17           105,151 s9h3v.bat
2009/07/29  10:59                57 autorun.inf
               2 個のファイル             105,208 バイト
               0 個のディレクトリ   1,875,378,176 バイトの空き領域

F:\>type autorun.inf
[AutoRun]
open=s9h3v.bat
shell\open\Command=s9h3v.bat

autorunでウイルスプログラム s9h3v.bat を起動する仕組みになっている。

検索してみたところUSBウイルス駆除補助プログラムを作成、公開している方がいる。
http://wwww.vc/index.php?id=282

非常に気味の悪いウイルスなので、症状*が出ている人は試してみて欲しい。
*:ツール→フォルダオプション→表示→ファイルやフォルダの表示→「すべてのファイルとフォルダを表示する」にチェックを入れても「隠しファイル及び隠しフォルダを表示しない」に戻されてしまう。ウェブサイトの表示等が非常に遅くなる。等

USBメモリといえば、グリーンハウスからオーディオプレーヤにもなるUSBメモリが発売される。
Kana Flash 実売2180円、2GBでmp3 /WMA再生可能。
kanaflash4

 



【USBウイルス】 [USBメモリに感染するウイルス]

 

USBメモリからこのウイルスに感染すると,CPU 使用率が高くなり操作が著しく困難になる。
何故か wuauclt.exe (Windows アップデート)や McShield.exe (McAfee Total Protection)のCPU使用率が高くなる。
タスクマネージャでプロセスリストを見てみると,kavo.exe, xvassdf.exe 等ウイルスプログラムが実行されている。

ウイルスプログラムが隠しファイル表示の制御をしている。
ツール > フォルダオプション > 表示 > 詳細設定で「すべてのファイルとフォルダを表示する」にチェックを入れても「隠しファイルとフォルダを表示しない」に戻ってしまう。

C:\に autorun.inf が生成されている。
[AutoRun]
open=um.exe
shell\open\Command=um.exe

autorunなので、マイコンピュータ > Cで、Cドライブを開いたら実行されてしまう。
スタートアップにもxvassdf.exeなど複数のウイルスプログラムが登録される。
ファイル名を指定して実行 > msconfig > スタートアップで無効にできる。

C:\ 
C:\WINDOWS\system32
C:\Documents and Settings\%USER%\Local Settings\Temp
に、以下のウイルスプログラムが入っていたが、これでも全てではない。

 virus_files2

この中で一番新しい um.exe は最新更新済の McAfee で検出できなかった。
結果は除去できたが、こちら等で手順が詳しく説明されている。 
http://shin.s-ence.org/archives/2009/06/16334.html

コマンドで隠しファイルの削除は可能だ。
隠しファイルの確認

dir /ah
隠しファイルの削除
del /ahr /p virus.exe
隠しファイルのコピー
xcopy c:\virus.exe e:\ /h

レジストリの変更(全て値を1にする)

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"Hidden"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\"ShowSuperHidden"

 

 

 

 


USBメモリに感染するウイルス ブログトップ