コンピュータ・ウィルスとの戦い -いまそこにある危機- その1 | ひとり親方のみかた
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

ひとり親方のみかた

地盤・看板・カバンなしで始めたコンサルタント稼業。

浮き沈みの激しい人生を送っているひとり親方(社長)のみかた(見方、味方、身方などなど)を書きつづっていきます。

コンピュータ・ウィルスとの戦い -いまそこにある危機- その1

長野県安曇野市に行ってきました。

風光明媚なところで、気候もまさに「秋」もみじといった感じでした。

朝晩も、涼しいというよりはむしろ寒いDASH!くらいでした。


安曇野で、コンピュータウィルスドクロに出会い、結局2日間を費やしてしまいました。

いわさきちひろ美術館に行きたかったのですが汗

単純なことで、悩まされてしまい、ものすごい時間がかかりました。


ということで、今回はドクロウィルス退治の一部始終叫びをお届けしたいと思います。



------------------------------------------------

お客さんのパソコンに不具合が出ているとのことで、安曇野まで行ってきました。


パソコンはPanasonicのレッツノートです。

知り合いから譲って頂いたパソコンだそうで、譲られる際に一度再インストールが行われていました。

(※知り合いの方は私もよく知っている方なので、再インストール後の設定は私がおこないました)


起動したところ、

「help.exe」

「mmvo.dll」

についてのエラーメッセージが表示されました。


「mmvo?」

あまり見慣れないファイルだったので、「mmvo.dll」でさっそくGoogleで検索しました。


ヒットは3件。


あまり情報はなさそうですね。

さっそくヒットしたページを見ることに。


「Yahoo!知恵袋」に同様の悩みを抱えている方の投稿がありました。


ふむふむ。

げっ!

ウ、ウィルス!?

そこを読んでみると、どうもウィルスのようでした。


さらにアンサー欄に、

--------------------------------

W32.Gammima.AG

mmvo.exe

mmvo0.dll

mmvo1.dll


ノートン、カスペル、トレンド、マカフィー、AVG等の最新版各種対策ソフトを試しましたが検出できたのはNOD32だけでした。
--------------------------------

と書いてありました。


ひーーー!

検出できないウィルス!

なるほど。それでウィルス対策ソフトが入ってても感染している可能性があるのか。

こりゃ、大変だ。


ということで、まずは

「W32.Gammima.AG」

の正体を知らなければ!



「W32.Gammima.AG」

をGoogleに入力して、検索ボタンを押しました。


みごとに、W32.Gammima.AGはURL「http://w32.gammima.ag 」に変わり、動きません。


検索欄で、

「W32 Gammmia」

とスペースを入力し、検索ボタンをクリック。

シマンテックに情報があるようで、検索にヒットしました。


●「W32.Gammima.AG」の情報

http://www.symantec.com/ja/jp/smb/security_response/writeup.jsp?docid=2007-082706-1742-99&tabid=2


なになに。

%System%\kavo.exe


ありゃ?

systemフォルダに「kavo.exe」というファイルがあるんですか。。


知恵袋に記載しているファイルと違うファイルがあるんですね。

イヤな感じ。


なになに。

えっ!

USBメモリに感染して拡げる!!??

げっ!

じゃあ、2階にあるパソコンも不調って言ってたのは、もしかしてUSBメモリで感染したからかも。


--------------------------------

その後このワームは、C から Z までのすべてのドライブへ自分自身を次のファイルとしてコピーします。
[ドライブ文字]:\ntdelect.com
また、次のファイルを作成して、そのドライブがアクセスされたときにこのファイルが実行されるようにします。
[ドライブ文字]:\autorun.inf

--------------------------------


ひーーー!

ついに出会った。

USBメモリやフロッピーなどで感染をしていくウィルス!


autorun.infなので、USBメモリを差し込むと自動的にウィルスが発症するようですね。

ntdelect.comファイルに気を付けなければ。


さて、

ウィルス対策ソフトで検知ができないとなると、手動で消すしかありません。


ということで、

さっそくsystemフォルダ内のmmvo関連ファイルをエクスプローラで探してみました。


ありました!

mmvo.exe

mmvo0.dll

mmvo1.dll

見事に見つかりました。


次にkavoファイルをエクスプローラで探してみました。

こちらは見つかりませんでした。


Σ( ̄ロ ̄lllって感じです。

いったいどこから拾ってきたのか・・・。


原因追及というよりもまずは対応

ということで、シマンテック社のページに記載されていた「レジストリーの削除」と「ファイルの削除」を実施しました。


で、再起動。


・・・・・・


またmmvoエラーのメッセージが表示されました。


_| ̄|○ あーあ。


ファイルを削除しても、再び発症するということは、ウィルスの原因ファイルは他にあるようです。

またやり直しですね。


さてさて。

ということで、再び手動捜索を開始しました。


徹底的に調査するため、すべてのファイルが見えるように、まずはフォルダオプションの変更。

ファイルとフォルダの表示 → すべてのファイルとフォルダを表示する

に変更します。


「登録されている拡張子は表示しない」のチェックをはずし、

「保護されたオペレーティングシステムファイルを表示しない」のチェックをはずしました。

と準備完了。


エクスプローラでsystemフォルダ・system32フォルダ内の捜索。

???

mmvoエラーのメッセージがあったのに、今回はmmvo.exeしか出てきていません。

dllファイルがありません。


あれ?

さっきは見えたのに?

どうしたんだろう?

不思議です。


さてさて。

とにかく「原因ファイル」探しをおこない、原因を止めなければなりません。

インターネットのホームページなどから原因ファイルをもらってくると、原因ファイルはインターネット一時ファイルフォルダにあることがあるので、


【コントロールパネル】 → 【インターネットオプション】 → インターネット一時ファイル【設定】 → 【ファイルの表示】をクリック。


「種類」をクリックし並び替え、変なファイルがないかどうかを確認します。


?????

不思議なファイルがあるのに気が付きました。

「uu.rar」

「rbtなんとか」


・・・・・・あっ!

Yahoo!知恵袋に書いてあったファイル!


--------------------------------

(知恵袋の記載)

感染後、某所からuu.rarをダウンロード→tempにrbt.exeを作成・・・・・

--------------------------------


ひーーーー!

これですね。

原因ファイルはここにありました。

これが発症する元ですね。

さっそくすぐにファイルを削除しました。


発症する原因ファイルを見つけて、根絶出来れば、あとは発症後のファイルを削除するだけです。

これでウィルス退治が終了。


と思っていましたが、

実はこれはまだウィルス退治の入り口だったのです。



(※その2に続く)

「コンピュータ・ウィルスとの戦い -いまそこにある危機- その2」

http://ameblo.jp/sisc/entry-10053865700.html