kawasaki.exe, nissan.exe, vrag.exeといった類のウイルスがヨーロッパで蔓延しているようだ。いろいろな名前の亜種があるらしい。ウイルス検索ソフトでは検出されない。
症状は、
USBディスクなどのリムーバブル・ドライブに感染し、
autorun.infを作成してディスクを差し込んだ時に活動するように記述し、
“CRNI” “BORO”といった保護付きディレクトリの中にexeファイル, desktop.iniを作成してしまう。
Windowsがある起動ドライブに感染する場合は、c:の下にあるRECYCLERの下にランダムなディレクトリを作成し、そこにexe、desktop.iniを作成する。
PC起動時にウェブサイトに勝手に接続する、など症状がある。
プロセスとして、kawasaki.exe, nissan.exe, vrag.exeなどとして走る。
といったもののようだ。現時点では、8月4日にボスニア・ヘルツェゴヴィナ、5日にオランダで確認されたのが最初のようだ。
対処法は、とりあえずautorun.infを削除する。Windowsからは、保護付きディレクトリを削除する術が見つからないので、ドライブをUnix系OSのPCに接続してマウントし、root権限で当該ディレクトリを削除する、という手順になった。
Cドライブに感染してしまった場合は、RECYCLERの下に作ったファイルになにかを依存するように設計されているらしく、Windowsからはやはり削除できないので、KnoppixなどでCDからPCを起動して当該ファイルを削除するしかなさそうだ。
感染の拡大は、どうやら感染したリムーバブル・ドライブ(USBドライブなど)を通じて起るようだが、インターネット経由でも感染しうるようだ。
以上、備忘録。こいつのせいで仕事が進まなかった。
追記:Cドライブに感染した場合の対処。nissan.exeが感染していたので、nissan.exeとして記述しているが、他の名前で感染している場合は適宜読み替えてほしい。
基本的には、レジストリの値を削除した上で、C:\Recyclerを削除する。
まず、レジストリのうち、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon にある「TASKMAN」を削除。ここにnissan.exeを起動する命令が書かれている。
ここで再起動しないのがポイント。Windowsを再起動すると、このレジストリの値が「復活」してしまう。
当該ウイルスのRecycler内のファイルはWindowsから削除できないので、(CDブートの)Knoppixを使って削除。CD-ROMからKnoppixを起動して、Cに該当するハードディスクをマウントし(Knoppix6なら最初からマウントしてくれている)、RECYCLERを削除。
これで完了。
最近のコメント