2010年01月21日
Sotec/V4160……その2
つまらんPCを再生したものだから、昨日、保守用の各種情報を記録しておこうと、USBメモリを突っ込んでびっくりした。
何やら怪しいソフトが自動起動した気配がしたからだ。
すぐにピンと来た。職場のある人からの情報で、「USBメモリ経由で感染するmmvo.exe」を持ち込んでいる人がいると。
僕は、システムファイルが見える設定をデフォルトとする習慣がある。NTDETECT.COMが丸見えなんて、許せない人もいるだろうが、僕にはその方が安心できるからだ。
ところが、何度「見える設定」を選んでも、すぐに戻ってしまう。これは何かが悪さをしている証拠だ。
他のPCでそのUSBメモリを確認し、autorun.infを見つけた次第。autorun.infに記述されているxxxxx.cmdを削除。
やっと、総鉄屑に戻って、cmdから、msconfigやregeditを呼び出し、mmvo.exe関連のレジストリやファイルを消去していった。
ただし、システムに常駐したmmvo.exeは、GUI(Windows画面)からは姿が見えない。CUI(コマンドプロンプト)にて、dir /ahを使ってmmvoの正体を暴き、attribコマンドを使って丸裸。削除はうまくいくかと思ったが、mmvo0.dllはアクセス違反で失敗。おそらくシステムの保護機能発動。
結局、セーフモードで起動し、なんとか、mmvo.exeとmmvo0.dllを削除。
しめしめと、再起動したら、また戻っていた……orz。
夜が更けていき、「雨が降ってくるよ」と警告されたものだから、20:30で作業を休止。
自宅で、mmvo.exeの勉強をした。嫌な宿題だ。
そして、mmvoは、オンラインゲームのユーザ名やパスワードを盗むのが目的であること、いくつかの亜種があること、c:\windows\system32以外のフォルダに数種類の違った名前のファイルが仕込まれる場合もあること、などを知った。また、webの常時接続環境ならば、消されたファイルをwebから補完する機能もあること、PC内の書き込み可能なすべてのドライブのルートディレクトリ(フォルダ)に、autorun.infとその増殖用コマンドを書き込むこと、などを知った。
総鉄屑は、極秘データを扱うことがあるので、webには常時接続していない。
いずれにせよ、宿題の成果はあった。
本日、小一時間かけて、昨日の作業を再度実施。もう覚えますた……orz。
追加作業として、C:とD:のルートディレクトリにあったautorun.infとその子分を見つけ、抹殺してやった。おまけに、総鉄屑常用おじさんのUSBメモリも大掃除……orz。
やっと、ウイルス(ワーム)退治が終わったころ、注文していたウイルスセキュリティZEROというパッケージが届いた。このアプリケーションでmmvo.exeが退治できるのかどうかは定かではないが、皮肉な到着のしかただった。
何やら怪しいソフトが自動起動した気配がしたからだ。
すぐにピンと来た。職場のある人からの情報で、「USBメモリ経由で感染するmmvo.exe」を持ち込んでいる人がいると。
僕は、システムファイルが見える設定をデフォルトとする習慣がある。NTDETECT.COMが丸見えなんて、許せない人もいるだろうが、僕にはその方が安心できるからだ。
ところが、何度「見える設定」を選んでも、すぐに戻ってしまう。これは何かが悪さをしている証拠だ。
他のPCでそのUSBメモリを確認し、autorun.infを見つけた次第。autorun.infに記述されているxxxxx.cmdを削除。
やっと、総鉄屑に戻って、cmdから、msconfigやregeditを呼び出し、mmvo.exe関連のレジストリやファイルを消去していった。
ただし、システムに常駐したmmvo.exeは、GUI(Windows画面)からは姿が見えない。CUI(コマンドプロンプト)にて、dir /ahを使ってmmvoの正体を暴き、attribコマンドを使って丸裸。削除はうまくいくかと思ったが、mmvo0.dllはアクセス違反で失敗。おそらくシステムの保護機能発動。
結局、セーフモードで起動し、なんとか、mmvo.exeとmmvo0.dllを削除。
しめしめと、再起動したら、また戻っていた……orz。
夜が更けていき、「雨が降ってくるよ」と警告されたものだから、20:30で作業を休止。
自宅で、mmvo.exeの勉強をした。嫌な宿題だ。
そして、mmvoは、オンラインゲームのユーザ名やパスワードを盗むのが目的であること、いくつかの亜種があること、c:\windows\system32以外のフォルダに数種類の違った名前のファイルが仕込まれる場合もあること、などを知った。また、webの常時接続環境ならば、消されたファイルをwebから補完する機能もあること、PC内の書き込み可能なすべてのドライブのルートディレクトリ(フォルダ)に、autorun.infとその増殖用コマンドを書き込むこと、などを知った。
総鉄屑は、極秘データを扱うことがあるので、webには常時接続していない。
いずれにせよ、宿題の成果はあった。
本日、小一時間かけて、昨日の作業を再度実施。もう覚えますた……orz。
追加作業として、C:とD:のルートディレクトリにあったautorun.infとその子分を見つけ、抹殺してやった。おまけに、総鉄屑常用おじさんのUSBメモリも大掃除……orz。
やっと、ウイルス(ワーム)退治が終わったころ、注文していたウイルスセキュリティZEROというパッケージが届いた。このアプリケーションでmmvo.exeが退治できるのかどうかは定かではないが、皮肉な到着のしかただった。
Posted by p2b_b at 23:13│Comments(0)
│PC遊び