A sample text widget

Etiam pulvinar consectetur dolor sed malesuada. Ut convallis euismod dolor nec pretium. Nunc ut tristique massa.

Nam sodales mi vitae dolor ullamcorper et vulputate enim accumsan. Morbi orci magna, tincidunt vitae molestie nec, molestie at mi. Nulla nulla lorem, suscipit in posuere in, interdum non magna.

nissan.exe, vrag.exeといったウイルスへの対処(備忘録)

kawasaki.exe, nissan.exe, vrag.exeといった類のウイルスがヨーロッパで蔓延しているようだ。いろいろな名前の亜種があるらしい。ウイルス検索ソフトでは検出されない。

症状は、

  • USBディスクなどのリムーバブル・ドライブに感染し、
  • autorun.infを作成してディスクを差し込んだ時に活動するように記述し、
  • “CRNI” “BORO”といった保護付きディレクトリの中にexeファイル, desktop.iniを作成してしまう。
  • Windowsがある起動ドライブに感染する場合は、c:の下にあるRECYCLERの下にランダムなディレクトリを作成し、そこにexe、desktop.iniを作成する。
  • PC起動時にウェブサイトに勝手に接続する、など症状がある。
  • プロセスとして、kawasaki.exe, nissan.exe, vrag.exeなどとして走る。

といったもののようだ。現時点では、8月4日にボスニア・ヘルツェゴヴィナ、5日にオランダで確認されたのが最初のようだ。

対処法は、とりあえずautorun.infを削除する。Windowsからは、保護付きディレクトリを削除する術が見つからないので、ドライブをUnix系OSのPCに接続してマウントし、root権限で当該ディレクトリを削除する、という手順になった。

Cドライブに感染してしまった場合は、RECYCLERの下に作ったファイルになにかを依存するように設計されているらしく、Windowsからはやはり削除できないので、KnoppixなどでCDからPCを起動して当該ファイルを削除するしかなさそうだ。

感染の拡大は、どうやら感染したリムーバブル・ドライブ(USBドライブなど)を通じて起るようだが、インターネット経由でも感染しうるようだ。

以上、備忘録。こいつのせいで仕事が進まなかった。


追記:Cドライブに感染した場合の対処。nissan.exeが感染していたので、nissan.exeとして記述しているが、他の名前で感染している場合は適宜読み替えてほしい。

基本的には、レジストリの値を削除した上で、C:\Recyclerを削除する。

まず、レジストリのうち、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon にある「TASKMAN」を削除。ここにnissan.exeを起動する命令が書かれている。

ここで再起動しないのがポイント。Windowsを再起動すると、このレジストリの値が「復活」してしまう。

当該ウイルスのRecycler内のファイルはWindowsから削除できないので、(CDブートの)Knoppixを使って削除。CD-ROMからKnoppixを起動して、Cに該当するハードディスクをマウントし(Knoppix6なら最初からマウントしてくれている)、RECYCLERを削除。

これで完了。

6 comments to nissan.exe, vrag.exeといったウイルスへの対処(備忘録)

  • アイスティー

    こんにちわ。
    私もnissan.exeに感染したようで、困っています。
    ブログを拝見し、対処方法を読ませていただきましたが、
    PCはそれほど詳しくないため、どのような操作をしていいかわかりません。
    もう少し詳しく教えていただけないでしょうか?

    私は米国在住。
    8月15日から異変を感じました。
    IEが自然にthenewspediaというサイトに変わったり、
    MSNメッセンジャーをやっている時に、
    相手側に上記の不審なurlを送信したりします。

    感染経路は不明ですが、私はyoutubeを疑っています。

    色々なソフトでスキャンをしてみましたが、
    駆除できないようでした・・・
    お忙しいところ恐縮ですが、よろしくお願いいたします。

  • アイスティー

    引き続きすみません。下記ご報告いたします。

    「ファイル名を指定して実行」で、レジストリエディタを開き、
    TASKMAN を削除しましたが、すぐに生成されてしまいます。

    また、The Trash Man というフリーソフトを使い、
    Recycler の中のnissan.exeの名前がついたファイルを含め、
    すべて削除しましたが、これもすぐに生成されてしまいます。

    再起動せずにやったのですが、感染による症状は改善していません。

    やり方が悪いのかもしれません。。。。

    とりあえずご報告まで。

  • アイスティーさん、こんにちは。報告をいただき、ありがとうございます。

    nissan.exe関連のファイルには、必ず「desktop.ini」が同梱されているらしく、このファイルのせいだと思うのですが、私がRecyclerの中身を削除しようとした時は、「Windowsのプロセスがファイルを使用中」とやらで、Windowsから起動してもC:\Recyclerの中にある、nissan.exeとその関連ファイルを削除することはできませんでした。

    とすると、Windowsから起動しても埒があかないことになります。そこで私が取った手段は、Windowsではなく、別のOSを使って起動する方法で、Linuxの中でもCDブートがしやすいようにできているKnoppix (http://www.knoppix.org/) を使いました。ISOイメージ(そのままCDに焼くためのもの)をダウンロードしてきて、CD-Rに焼き、これを使って感染していたPCを起動しました。その後、当該のハードディスクドライブにあるRecyclerを、丸ごと削除しました。

    なお、Recyclerは、デスクトップの上にある「ごみ箱」ではなく、Cドライブの中にあるものです。Windowsでは通常は表示されない設定になっているので、この中身を確認するためには、マイコンピュータなどにある「ツール」メニューの「フォルダ・オプション」の「表示」タブの中で「システム フォルダの内容を表示する」にチェックをつけてOKを押し、C:の中にあるRecyclerが表示されるようにする必要があります。(Knoppixで起動した場合は、Recyclerは直接見えると思います。)

    Recyclerの中にあるnissan.exe (あるいはvrag.exeなど別の名前の可能性もある)本体を削除してしまえば、ウイルスが動作しなくなるので、問題ないようです。(レジストリは、最後に一度確認してみるとよろしいかと思いますが。)

  • アイスティー

    みたびお邪魔します。
    nissan.exeの件ですが、解決しました。
    結論から申し上げると、有料ソフト Prevx3.0 で駆除できました。
    新しいタイプらしく、
    日本語の説明はネット上でこのブログしか見つかりませんでしたが、
    nissan.exe taskman で検索すると、Prevx3.0で駆除できると、
    どこかの英語サイトに説明がありました。
    試してみると、検出だけは無料なのですが、駆除は有料(笑)。
    1年間30ドル弱ですが、面倒なので買ってしまいました。

    駆除後、レジストリからはTaskmanも消滅、
    「The Trash Man」もRecyclerの中のnissan.exeを検出しなくなりました。

    Shibayama様の説明がなかったら、こんなに早く、
    ここまでたどりつけなかったと思います。
    どうもありがとうございました。

    それにしても感染経路が不明です。
    youtubeで日本のお笑い番組を色々はしごして見ているときに、
    突然、症状が現れたので、youtubeを疑っているのですが、
    メールから感染したのかもしれないとも思っています。
    症状は大したことないのですが、感染はイヤですねぇ?。

  • mik

    hi, propably you can help me.

    i found the following entry in an autorun.inf – file in the root-directory of my external-harddrive but using google your site was the only one with a similar problem, unfortunately written in japanese which is not the language i know best.

    autorun]
    [autorun[
    autorun[
    [autorun
    :jle7
    open=BORO\kawasaki.exe
    :call
    icon=%SystemRoot%\system32\SHELL32.dll,4
    :jne1
    action=Open folder?to view files using?Windows?Explorer
    :jle7
    shell\\\\\open\\\\command=BORO/////\\\\kawasaki.exe
    :jmp8
    shell\explore\command=.////BORO/\\\\kawasaki.exe
    useautoplay=1
    [AutoRun]
    :GOTO NUL

    could you tell me, what this autorun.inf intends to do?

    yours, mik

    ps: also i’d like to know what your “posts from vienna” are (i’m from vienna 😉 )

  • アイスティー さん、
    お返事が遅くなりました。無事解決されたとのこと、よかったです。
    感染経路はこちらでも不明なのですが、1つはUSBで接続するメモリーやハードディスクドライブのようです。また、同じネットワーク内にあるコンピュータ同士で感染する、ということは十分にあり得ると思います。Youtubeを含むウェブページを開いたことによる感染であれば、より広範に広まっていると思うのですが、現時点ではそのような爆発的な感染ではないようなので、ウェブページ経由ではないかな、というのが個人的な所感です。

    Dear Mik,

    The autorun.inf is a setting file of Windows in a removable media (such as CD-ROM, USB-Memory, SD-Card etc). The code written in autorun.inf is executed when the media is connected (e.g. when CD-ROM is inserted, or when USB-Memory is connected).

    The Windows’ autorun menu has several automatically generated menus, such as “Open folder to view files using Windows Explorer”, “Do Nothing”, “Open pictures with Windows Picture and Fax Viewer”, “Play music with iTunes” etc. This is normal behaviour of Windows.

    The kawasaki.exe’s autorun.inf you copied onto the comment above creates a fake “Open folder to view files using Windows Explorer” menu into the Windows’ autorun menu. When you click this fake one, the kawasaki.exe starts to run.

    I hope this explanation helps you.

    P.S. “Posts from Vienna” means posts written when I am in Vienna. where I live.