autorun再び

人が集まって互いのプレゼンテーションな場面に立ち会うたびにウイルスもらってきます。私だけですか？みんなそんな感じでしょうか？

今回は発生源が結構身近なところのPCだったりしたので、とりあえず｢ちょいと使わせてもらうよー｣な流れでウイルスは消しておきました。 というか、ウイルスデータベースを更新してスキャンしたら普通に消えた。
でも、広まった結果どれだけ猛威を振るうかわからないものなので、状況を整理してから、関わった人全員にメールすることにします。もう問題発生から2週間くらいは経ってるはずだし、広まるところまでは広まっちゃってるでしょう。
今さら私が騒いで、｢ウイルスがあるらしいから昨日はPCに触れなかった！｣とかよりはいい。問題のウイルスっていうのも、

w32gammima （Norton)、Trojan Game thief magania (F-secure)、Win32:kamso (avast)
とかいうやつで、

動作：ネトゲーのパスを抜く

とかみたいなので、それほど問題になりそうな人が見当たりません。まあ、わかんないけど。

今回のautorunウイルスを見て思ったのが、どうやらWinXPにも影響がありそうな雰囲気。以前は、私はこれをVista以前のPCには無関係だと判断してしまったのですが、どうやら違う様子

autorun.infの中身を

[AutoRun]
open=file1.exe
shell\open\Command=file2.exe

とかで確かめた結果、下の内容ではfile2.exeが実行された。ちなみに、file1.exe, file2.exe共にただの実行形式の圧縮ファイル。

色々検証した人の中によれば、USBメモリのメーカーによって動作が異なり、ウイルス対策ソフト側でも上手く対処しにくい状況っぽいらしい。

この書式のautorun.infではXPでも動作することがある様子で、エクスプローラ(マイドキュメント、マイコンピュータなんかをダブルクリックすると出てくるファイル、フォルダを見るためのプログラム)上からUSBメモリをダブルクリックしたら、どうにもautorun.infを読んでいそうなメッセージが出ました。そのときは、アンチウイルスソフトが動作をブロックしたためウイルス起動は未然に防がれましたが。

また、この書式でも、挿しただけでは、私のPC、私のUSBメモリ(バッファロー製)ではautoplayによってはウイルスは起動しなかった様子でした。さした後に一定の手順で起動するのですが…
自動で行う操作は｢接続と同時にフォルダを開く｣だったのですが、多分、問題なくしばらく動いてました。(しばらくしてから一度USBメモリを参照しているエクスプローラの窓を閉じ、再び開こうとマイコンピュータからUSBメモリをダブルクリックした段階でアンチウイルスが警告を出した……だったと思う)

他のPC上でも、上のような実行形式の圧縮ファイルを解凍するかどうかでautorun.inf関連の動作を確かめてみた結果、WinXPのautoplayで読んだ結果でも、エクスプローラからダブルクリックしても反応しないものもありました。
今回、autorun.infはシステム管理のファイルという扱いになっていて、｢全部のファイルとフォルダを表示｣しても、表示されることはなかった。｢保護されたオペレーションシステムファイルを表示する(推奨)｣を、(一度警告を無視して)チェックを外さないと表示されない。

また、感染源になったPC上では、autorun.infの他はウイルス感染に関係しているファイル(batファイルになっているが、実行形式ファイルだった)がどうやっても見えない。感染している状態もUSBメモリをさしても、感染していない状態のUSBメモリをさしてもそれらのファイルが存在しないことになっている。そして他のPCに挿すとちゃんと見える。どうやってるんだろう？

参考にしたぺージ
USBメモリを介して感染するウィルス - だらだらやるよ。http://d.hatena.ne.jp/nagakura_eil/20080901/p1

AhnRpta.exe、xvassdf.exeとの闘い。 : パソコントラブル出張修理・サポート日記http://orbit.cocolog-nifty.com/supportdiary/2009/08/ahnrptaexexvass.html