Autorun(オートラン)のウィルスで、XPの自動再生は関係ないと思う件について

2009年10月6日追記
XPでもautorun.infによって、実行形式のファイルを起動することはできるのかもしれません。
shell\open\Command=file.exe

とかで起動するPC（＋USBメモリ)もありましたしました。

追記終わり

USBメモリーから感染 被害増
http://itpro.nikkeibp.co.jp/article/NEWS/20080605/306756/

http://internet.watch.impress.co.jp/cda/news/2008/03/04/18662.html
以前2回ほど感染したことがあります。他の人のPCにUSBメモリをつなぐ機会なんてそうそうないのに…
その日家に帰ってUSBメモリをPCにつないだら、即座にアンチウィルスが反応しました。フリーのアンチウィルスソフト、Avastで検出できました。
http://www.avast.com/jpn/download-avast-home.html

そのとき一緒にいた人やら、家のPCで検出される前に伝染させた可能性がある人やらに片っ端から連絡を入れました。｢ひょっとして私から？｣とか考えると、かなりびびった経験でした。

…経験上、USBメモリの一番上の階層(E:\とか)に、隠しファイルでAutorun.infとか入ってたら怪しい。多分。
>Windows VistaでUSBメモリのAutorun.infが自動実行されないように設定を変更することを推奨。Windows XP/2000ではUSBメモリを挿しただけではAutorun.infが自動実行することはないが、「マイコンピュータ」からUSBメモリを認識したドライブをダブルクリックすると、ウイルスを含む実行ファイルが起動してしまう。

…Vistaで設定切ったって、かなり高確率で感染しそうですね。
この説明によると、
ドライブをダブルクリックする→感染
右クリック+開く→感染しない
でいいのかな？そう思いつつ少々調べてみましたが…うーん、XPなんかでも、USBを開いただけじゃ自動感染しないんじゃないのでしょうか？

自分でAutorun.infを作って調べてみました。
Autorun.infの書式
http://hp.vector.co.jp/authors/VA014228/WAutoRun.html
ここに書いてあるくらいのファイルを作って、notepadが起動するかどうか調べたところ、WinXPhomeでは自動再生されないことが確認できました。ついでに、アイコンはちゃんと読み込めました。
自動再生はshiftを押していることで回避できるようです。他にも、右クリックメニューから自動再生の内容を｢何もしない｣あたりに指定してもいいようです。私は以前TweakUIでいじったとき、まとめて自動再生切っといたんですよね。確か、外付けHDDの検索みたいのがウザかったからです。

自動再生をオンにしても、Autorun.inf内の動作は実行されません。はて？ …あ、TweakUIのメニューでは、この機能AutoPlayって書かれてる。 言語の壁ってやつですか。どうやら、現在問題になっているAutorunとXPの自動再生(AutoPlay)は別物のようです。

さらにこっちの記事では、｢光学メディア以外では、Autorun.infは"動作"しない｣と書かれています(XPについての記事)。
http://prism-project.sakura.ne.jp/usb_memory/usbmmain2.html
以下関係する部分を引用。
･光学式メディア (CD-ROMやDVD-ROMなど) autorun.infがある場合、その内容に従ってドライブアイコンを変更し指定されたファイルが実行される。無い場合は動作の選択画面が出る。
･USBメモリ USBハードディスクなど autorun.infがある場合、その内容に従ってドライブアイコンを変更するが実行するファイルの指定はできない。（無視される）無い場合は動作の選択画面が出る。
・上の表の通りUSBメモリでは自動実行ファイルであるautorun.infを入れた場合アイコンの変更はできてもファイルの実行はできないという事です。従ってUSBメモリにランチャー等を入れてautorun.infで実行ファイルに指定してもランチャーは自動起動せず動作の選択画面が出るという事です。
・実はネット上でautorun.infとUSBメモリを組み合わせてメニュー画面を自動で起動．．．なる事をいまだに書かれている文献が非常に多いですが通常はUSBメモリからは自動実行できません！！！　これはWindowsの仕様です。これが出来るのはCD-ROMです。

こちらの人も、Autorunって意味あんの？といった記事を書いています。 http://www.machu.jp/diary/20070201.html

XPまでのAutorun.infの機能はその程度だったんですね。 ということは、このウィルスはVistaでの感染を想定して作られたってことでしょうか。XPでは、連鎖的に感染させることはできないはずです。

最初に感染したのは、確かにVistaだったかもしれません。
Vistaに関係する場合を考えてみます。
多くの人がUSBメモリを挿すPCのOSがVistaだった場合、挿した一人のUDBに悪意あるAutorun.infが含まれていたとすると、VistaPCはAutorun.infを読み、感染します。 そして、他のメディアにもAutorun.infを書き込む感染源ともなるのです。これが｢Vistaに感染したUSBメモリを挿した場合｣に起こることです。

次に、XPに感染したUSBメモリを挿した場合
XPではAutorun.infをアイコンの読み込み程度にしか使えません。 そのため、アンチウィルスなんかには引っかかりますが、たとえアンチウィルス無しであっても、"AutoPlay"で起動した場合では、USBメモリをダブルクリックした場合でもAutorun.infの指示通りにウィルス本体を読み込むことはなく、感染は拡がらないということだと思います。

…でも、二回目に感染したとき接続したPCはXPだったと思うんですよね。XPでもこれの感染源になることはあるんでしょうか。実行形式がWin用である以上、Win関係なら大抵のOSで動くんでしょうけど。

｢XPにメモリを挿しただけ｣では感染することはないはずです。 詳しくは聞いてないけど、あのXPのノートPCは、持っていた人によって何らか別の理由で、おそらくは自分の責任で感染してしまったんだろうな･･･と思います。

とはいえ、実際XPでも感染力はないという保証もありません。感染したファイルは、既に完全に消してしまったこともあり、確認がとれません。私が見つけられなかっただけで、XPにUSBメモリを挿しただけでも何がしかのファイルを読み込ませる動作をさせられる書式が存在する可能性は否定できません。

…でもまあVistaなんでしょうね。今、過去の感染についての情報をAvastのログから探し出してみたところ、
1回目 http://www.avira.com/jp/threats/section/fulldetails/id_vir/4096/tr_vb.aqt.html
2回目 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FAGENT%2EZAV&VSect=T
1つ目のウィルスに感染したのは去年の11月ですが、このウィルスが発見されたのは2007年2月11日。Vista発売から2週間も経ってません。おそらく、この機能を使ってウィルスを作りたいと目論んでいた輩がずっと前からいたってことでしょうね。

おめでとう、迷惑な糞野郎。
そして、Vistaを作った男達=涙目。

MS Jeffrey R. Jones氏、｢今回のレポートより、VistaのセキュリティがこれまでのWindowsより改善したと分かる｣とコメント
http://itpro.nikkeibp.co.jp/article/NEWS/20080418/299526/
「Windows Vistaは史上最強のセキュリティを実現」 http://pc.watch.impress.co.jp/docs/2006/0807/ms.htm
ところで、1回目に感染したほうのウィルスの感染対象にVistaが含まれてないのは何かの陰謀でしょうか？

感染の予防には、E:\以下のディレクトリ(フォルダ)にAutorun.infという名前にしたフォルダを入れておくといいらしいです。
感染経路がローテクならば、予防法までローテクですねえ。2回感染しても気付かなかったけどorz

でもそのうち、この予防法もいたちごっこになって、既存のAutorun.infを削除してから改めてファイルを作成するウィルスとかが出てくるんでしょうね。 フォルダを作ることが推奨されていることには、ファイルのときよりも上書きされにくいとかの理由があるのでしょうか。
見た目で判断できるためでしょうか。フォルダをファイルに書き換えることはできませんから。 Windowsでは｢読み取り専用｣の指定が出来ますが、さきほど試してみた限りでは、上書きが完全に不可能なわけでもないようです。

とはいえ、多分、VistaのAutorun機能を切って、適当なアンチウィルス入れておけば大丈夫でしょう。Vista以外のOS、つまりXPとか使ってる人の場合、たまに他の人のPCと接触があった時に、USBメモリに変なファイルが書き込まれることがある…っていう程度で、それ以上の被害は生じないでしょう。無駄にexeを実行しないように気をつける必要はあるでしょうけど。

自動再生(AutoPlay)の機能はおそらく無害。ダブルクリックとかしてもだいじょうぶへいき。多くのサイトでは現状、｢自動再生に注意せよ｣と書かれてますが…まあ、多分。

……とかいいつつ、1年くらい経った後、XPでも起動し得ることを知ったりもしました。たしかにVista以外にXPからも感染したことがあった気がします。誤ってウイルスが入ったのか、意図的に感染させようとした誰かがいたのかは知りませんが。というか、以外に息が長いですね、USBメモリのウイルス。