感染経路はどこから? オートラン・ウイルスの本体 …予防法について...
TRANSCRIPT
オートラン・ウイルス(USBウイルス)とは?
ワームと呼ばれる感染を拡大するタイプのウイルスです
Windows の自動起動(オートラン)を悪用して、感染を広げるウイルスです。たとえ
ばオートラン・ウイルス(USBウイルス)の埋め込まれた USBメモリなどをパソコン
に接続すると、自動的にウイルスが起動してしまい(オートランが悪用され)ウイル
スに感染します。また感染してしまうとオートラン・ウイルス製造機になってしまい、
そのパソコンに USBメモリなどを接続すると、今度はウイルスの分身を埋め込む
ようになってしまいます。そしてどんどん感染を広げます。
またオートラン・ウイルスに感染すると、トロイの木馬と呼ばれるウイルスにも複合
感染します。そしてこのトロイの木馬の分身も USBに埋め込まれ、感染を拡大していきます。ただし感染した状況や
オートラン・ウイルスの種類によっては、この限りではありません。凶悪なウイルスに複合感染してしまうことも。
なお、Windows の自動起動とは、たとえば年賀状ソフトなどの CD-ROM をパソコンに入れるだけで自動的にインス
トールがはじまりますが、このようにユーザーがクリックして開始しなくても、Windows が自動的に処理してくれる便
利な機能です。そして自動的にインストールがはじまるように、自動的にウイルスが起動し、その結果ウイルスがイ
ンストールされ感染してしまいます。
今回はオートラン・ウイルスについて「どのようなウイルスで、どのような予防法があるのか?」ご説明します。
感染経路はどこから?
オートラン・ウイルスはその特徴から USBウイルスとも呼ばれていますが… たとえば NAS などのネットワーク共有
フォルダからも感染します。これは Windows 上で自動起動(オートラン)設定ができるためです。ちなみに Windows
では NAS などのネットワーク共有フォルダにも自動起動(オートラン)が設定できます。
また迷惑メールにオートラン・ウイルスが添付されていた場合は、うっかり実行してしてしまっても感染します。もとも
とオートランとは自動実行する機能であり、ウイルス本体をクリックし手動実行してしまっても、ウイルスが起動する
ため感染してしまいます。
オートラン・ウイルスの本体はどこにあるの?
オートラン・ウイルスに感染すると「ウイルス対策ソフトが USB メモリ内のウイルスを何回も駆除する」という現象が
起きます。そして USB メモリ内にウイルス本体が潜伏していて、駆除しても復活しているように見えますが… 実は
パソコンにオートラン・ウイルスの本体が潜伏しています。
ちなみに USB メモリ内のウイルスを削除すると、パソコンに潜伏するオートラン・ウイルスの本体が再び分身を
USB メモリに埋め込みます。
オートラン・ウイルス(USBウイルス)とは? その予防法も http://www.orange-ss.com/column/0017.html
1
予防法について
オートラン・ウイルスは USB機器などを媒体にして、次から次へと感染を拡大するウイルスです。パソコンへの感染
予防と、外部感染への予防が必要です。
まず大切なのは USB機器をパソコンに接続するときは、キーボードの「Shift」キーを押しながら接続することです。
またドライブを開くときは、Windows「スタート」ボタンを右クリックし、「エクスプローラ(X)」から目的のドライブを開き
ます。これを習慣化してください。
たとえば友人宅やパソコン教室、マンガ喫茶などに、USB機器を持込むこともあるのではないでしょうか。もし自分
のパソコンが USBウイルスに感染していてる場合は他人に移してしまう恐れもあるため、外部で自分の USB機器
を接続するときは必ず上記の手順を守り、他人への感染を防ぐことが大切です。
また逆に USB機器を外部で使ったことにより、オートラン・ウイルスを拾ってしまっている可能性もあります。外部で
使った USB機器を自分のパソコンに接続するときも、上記の手順を守って予防してください。ちなみに自分のパソコ
ンについては、Windows のレジストリを修正し、強制的に自動起動(オートラン)を無効にするとよいでしょう。ただし
オートラン・ウイルスは迷惑メールからも感染するため、迷惑メールを開かないことも大切です。
なお、企業であれば、メールやインターネットを通じて外部感染するウイルス対策としてフィルタリングを行うように、
USB 機器への対策も重要となります。また USB 機器使用のルールを周知徹底することも大切です。社内はクリー
ンであっても、自宅のパソコンでオートラン・ウイルスを拾ってしまい、外部に持込んでしまう可能性もあります。たと
えば打合せの前日に自宅のパソコンで資料を整理。そこで USBメモリ内にオートラン・ウイルスが入ってしまい、外
部に持込んでしまうなど。とにかく軽視だけはせず、セキュリティポリシを見直すなど、総合的な対策に組み込んで
予防することが必要です。
オートラン・ウイルス(USBウイルス)とは? その予防法も http://www.orange-ss.com/column/0017.html
2
USBウイルスに感染したかな?と思うときは
隠しファイルを表示できるか? 簡易検査をします
USBウイルスは亜種が多く、ウイルス対策ソフトが見逃してしまうことも。そのため
「感染したかな?」と思ったときは、症状で診断すると間違いがありません。
ポイントとしては「隠しファイルを表示する設定ができるかどうか?」を確認します。
ちなみに USBウイルスに感染すると、隠しファイルを表示する設定ができなくなり
ます。
それでは USBウイルスのチェック方法(簡易検査)をご説明します。
USBウイルスのチェック手順
まずは「隠しファイルを表示する設定ができるかどうか?」を確認します。そしてもし問題がない場合は、この設定を
戻します。これは大切なファイルを保護するために、あえて隠しファイルにしているものもあるためです。間違って削
除なんてことがないように、設定は戻したほうがよいでしょう。
「スタート」ボタン→「コントロールパネル(C)」をクリックします。
「コントロールパネル」画面が開いたら、メニュウにある「ツール(T)」→「フォルダ オプション(O)」をクリックしま
す。
USBウイルスのチェック方法 http://www.orange-ss.com/column/0015.html
3
「フォルダオプション」画面が開いたら、「表示」タブをクリックし、「すべてのファイルとフォルダを表示する」をクリッ
クします。その後で「適用(A)」ボタン→「OK」ボタンをクリックします。
「OK」ボタンをクリックすると、画面が閉じます。そこで再度、上記の手順を行い、設定がされているか? を確認しま
す。最後に設定した「すべてのファイルとフォルダを表示する」にチェックマークが入っていればOKです。感染してい
ません。
もし USBウイルスに感染している場合は、「すべてのファイルとフォルダを表示する」の下にある「隠しファイルおよ
び隠しフォルダを表示しない」にチェックマークが入ります。ちなみにウイルスファイルが見えてしまうと削除されてし
まうため、このような隠しファイルが表示されない設定になってしまいます。
なお、USBウイルスのチェックが終わったら… あえて隠しファイルに設定しているファイルを間違って削除しないよ
う、「隠しファイルおよび隠しフォルダを表示しない」にチェックマークを入れてから、「適用(A)」ボタン→「OK」ボタン
をクリックしてください。
万が一、感染している場合は?
USBウイルスは亜種が多く、ウイルス対策ソフトが見逃してしまうことも。見逃してしまい検出されなければ、駆除も
検疫もできません。そしてパソコンに詳しくない限りは、手動駆除を試すよりも(失敗する可能性もあるため)リカバリ
して駆除したほうがよいでしょう。また USBウイルスはバックアップしたドライブに分身をコピーするため、バックアッ
プデータから再発することもあります。この点も注意して、駆除作業を行ってください。
USBウイルスのチェック方法 http://www.orange-ss.com/column/0015.html
4
リカバリしても再発してしまった…という方へ
「オートラン」ウイルスというと USBメモリのみの感染・拡大というイメージが強いの
ですが、実はこれだけではありません。NASなどのネットワーク対応ハードディスク
や共有フォルダからも感染します。つまり記憶装置全般に感染し、拡大します。
感染の流れとしては、「オートラン」ウイルスに感染したパソコンから、記憶装置(共
有ディスクや USBメモリなど)に感染を広げ、さらに感染した記憶装置から他のパ
ソコンへ感染を広げます。
そのためパソコンをリカバリして駆除したとしても、使っていたネットワーク対応ハードディスクからバックアップデー
タを戻したとたんに再発なんてことも。そして USBメモリを差していないのになぜ再発したのか? 原因がわからず
ビックリする方も多いようです。
ここではオートラン・ウイルス(USBウイルス)駆除の注意点をご説明します。
ちなみにデジカメで使う SDカードや、音楽プレイヤーの iPod から再発することもあります。またハードディスク内の
別パーティション(D:ドライブなど)から再発することもあります。とにかくすべてのドライブから再発する可能性があ
るということに注意してください。
なお、「オートラン」ウイルスは、ウイルス本体を実行することにより感染します。そのためメールに「オートラン」ウイ
ルスが添付されていて、ついうっかり手動で開いてしまっても感染してしまいます。迷惑メールで「オートラン」ウイル
スが送信されていた事例もありますので、迷惑メール対策もしっかりと行ってください。
「オートラン」ウイルスは対策ソフトで駆除できるの?
「オートラン」ウイルスといっても種類や亜種が数多くあります。そのためパソコンに感染したウイルス本体は、対策
ソフトで駆除ができないこともあります。さらに検出すらされないこともあります。つまりパソコンに詳しくない限りは、
リカバリ(Windowsの再インストール)しか駆除方法がないと言えるウイルスです。
しかし、パソコンのリカバリ後なら(ウイルス本体の駆除後なら)、バックアップを保存した外部ドライブに感染する
「オートラン」ウイルスを駆除することができます。フォーマットなどの初期化は不必要で、データ復旧も可能です。
バックアップデータを戻すときは、まず自動起動に注意し、ウイルス検査&駆除を行ってください。
USBドライブ(メモリやハードディスク)については、パソコンさえ感染していなければ駆除が可能です。リカバリ後
にバックアップを戻すときは、キーボードの「 Shift 」キーを押しながら、USBを差し、ウイルス検査&駆除を行い
ます。USBドライブを開くときは、念のため、自動起動しないよう Windows「スタート」ボタンを右クリックし、「エクス
プローラ(X)」から開きます。
ネットワークドライブについても、ウイルス検査&駆除を行い、バックアップを戻すときは、Windows「スタート」ボ
タンを右クリックし、「エクスプローラ(X)」から目的のドライブを開きます。
肝心なのは D:ドライブなどの内臓ハードディスクの別パーティションや増設ハードディスクです。こちらはリカバリ
しても環境がそのままのため、ウイルスが残っています。必ずウイルス検査&駆除を行ってください。バックアッ
プを戻すときは、Windows「スタート」ボタンを右クリックし、「エクスプローラ(X)」から目的のドライブを開きます。
なお、Windowsが起動する C:ドライブさえ正常なら、それまで駆除に失敗した外部ドライブの「オートラン」ウイルス
が駆除できるようになります。これは「駆除しても復活する」ウイルス本体の機能が、リカバリによって削除されたた
めです。
つまりパソコンに詳しくない限りは、リカバリしかウイルス本体を駆除する方法がないのですが、バックアップした外
部ドライブについては、リカバリは不必要で、データを元に戻すことができます。ただし安易に外部ドライブを開いて
しまうと、再び感染してしまう可能性もあります。必ずウイルス検査を行ってから開いてください。
オートラン・ウイルス(USBウイルス)駆除の注意点 http://www.orange-ss.com/column/0007.html
5
オートラン・ウイルス(USBウイルス)はこっそりと増殖します
増殖するとウイルス対策ソフトで検出されない?!
オートラン・ウイルスに感染すると、そのパソコンの C:ドライブや接続した USB メ
モリなどに「○.exe」、「○.com」、「○.cmd」といった分身が埋め込まれます。
そして生みの親はウイルス本体なので、その本体をウイルス対策ソフトで駆除で
きれば、イコール分身も駆除できると思いますが…
ところが新たに埋め込まれた分身をウイルス対策ソフトで見逃してしまうこともあ
り、その新しい分身から再発してしまうことも。
そこでオートラン・ウイルスの増殖と注意点をご説明します。
なお、オートラン・ウイルスは USB メモリに潜伏する分身からパソコンへ感染します。そして感染してしまったパソコ
ンは USB メモリなどにウイルスの分身を潜伏させる、ウイルス製造機となります。そしてここではそのウイルスの分
身を中心に話を進めています。
1個のオートラン・ウイルスから複数に増殖?!
USB メモリをチェックし、もし複数のウイルスの分身が見つかれば、いろいろなところで拾ってきてたのかな? という
感じがしますが… 実際は 1個のオートラン・ウイルスから新たな分身が埋め込まれ増殖します。
この画像はオートラン・ウイルス分身の「2sdsu3.cmd」をパソコンに感染させて、新たに埋め込まれた分身をキャプ
チャしたものです。ちなみに「 n.exe 」、「vb8jc.exe」、「vy9i9gl.com」、「a81lkgv.com」、「fmg83i.exe」が分身です。おお
よそ 1週間に 1個ずつ増殖しています。
ちなみにネットからパソコンを切り離すと、増殖が止まります
そして生みの親であるオートラン・ウイルス本体は主要なウイルス対策ソフトで駆除できるのですが、分身の
「vb8jc.exe」については検出すらされません。* 2009年2月16日現在「vb8jc.exe」については、ほとんどのウイルス
対策ソフトで検出されません(その他の分身については検出されるようになりました)。
なお、現在はウイルス対策ソフトで検出されるようになった「 n.exe 」、「vy9i9gl.com」、「a81lkgv.com」、「fmg83i.exe」
ですが、増殖直後(過去)は検出されませんでした。
つまりウイルス対策ソフトがオートラン・ウイルス本体や分身を検出できるようになったときには、既に新たな分身が
増殖されていて、駆除されずに残ってしまうことも。そしてその残ってしまった分身から、オートラン・ウイルスに再び
感染する恐れもあるのです。
ちなみにもし 2、3日程度の期間、パソコンの調子が良くなり、またウイルス検出のメッセージが表示されたり、パソ
コンが遅くなったときは、この残ってしまった新たな分身から再発してしまった可能性が高いと言えます。
再発予防について
再発を抑えるには、まずオートラン機能を無効にしたほうがよいでしょう。これはこのウイルスが Windows のオート
ラン機能を悪用し、パソコンに感染するためです。
またパソコン本体のウイルスが検出されなくなり落ち着いたら、USB メモリなどの外部ドライブはフォーマットしたほ
うがよいでしょう。これはウイルス対策ソフトが見逃している分身も潜伏している恐れがあるためです。
オートラン・ウイルス(USBウイルス)はこっそりと増殖します http://www.orange-ss.com/column/0034.html
6
自動実行を強制的に無効にする方法
まず Windows Vista ユーザーで、アップデートを無効にしている方は(設定をあえて変更しない限り有効になってい
ます)、アップデートを行ってください。また Windows XP ユーザーの方は、Windows XP 用の更新プログラム
(KB967715) でダウンロードし、インストールしてください。
なお、レジストリの変更を行いますので、必ずバックアップを作成してください。バックアップを作成するには「システ
ムの復元」を開き、新しい復元ポイントを作成します。
*レジストリ操作に極端な作業ミスがあると Windows が起動しなくなり、「システムの復元」では元に戻せないことも
あります。作業は慎重に行ってください。
1. レジストリエディタを開く
まず Windows Vista の場合は、画面左下の「 Windows マーク」ボタンをクリックし、すぐ上に表示される検索ボッ
クスに「 regedit 」と入力し、キーボードの「 Enter 」キーを押します。
Windows XP の場合は、画面左下の「スタート」ボタン → 「ファイル名を指定して実行(R)」をクリックします。「ファ
イル名を指定して実行」画面が表示されたら、「 regedit 」と入力し、キーボードの「 Enter 」キーを押します。
2. レジストリを修正する
「レジストリエディタ」が開いたら、画面「左」項目の「HKEY_LOCAL_MACHINE」をダブルクリックします(+マークを
クリックでも可)。
すると項目が展開するので、次に「SOFTWARE」をダブルクリックします。同じように「Microsoft」→「Windows」→
「CurrentVersion」→「policies」とダブルクリックし進みます。
オートラン機能を無効にする方法 http://www.orange-ss.com/column/0026.html
7
次に「Explorer]をクリックし、画面「右」項目の「NoDriveTypeAutoRun」をダブルクリックします。「DWORD 値の編
集」画面が開いたら、「値のデータ(V)」に「ff」と入力し、「16進数(H)」にチェックを入れ、「OK」ボタンをクリックし
ます。
設定が完了したら、Windows を再起動してください。これで自動実行が無効になります。
自動実行を手動で無効にする方法
会社や得意先のPCなど、他人のPCに上記設定を行うわけにはいきません。そこで自動実行を手動で無効にする
方法をご説明します(特別な設定は行いません)。
1. USB メモリをPCへ接続するときは、キーボードの「Shift」キーを押しながら接続します。
2. USB メモリを開くときは「エクスプローラ」から中を開きます。
冒頭の「オートラン・ウイルス感染の具体例」で、USB メモリをパソコンに接続した段階でオートラン・ウイルスが自
動実行されてしまうことをご説明しました( Windows Vista のみ)。そして USB メモリをパソコンに接続するときに、
キーボードの「Shift」キーを押しおけば自動実行が無効になるため、オートラン・ウイルスにパソコンが感染すること
はありません。
また「マイコンピュータ」から開くとオートラン・ウイルスが自動実行されてしまいますが、この「エクスプローラ」から開
くと自動実行されません。もしドライブ内にオートラン・ウイルスが潜伏していても「エクスプローラ」から開けば、自動
的に感染することはありません。
「エクスプローラ」でドライブを開くには、「Windows マーク」又は「スタート」ボタンの上で「右クリック」し、エクスプロー
ラをクリックします。
オートラン機能を無効にする方法 http://www.orange-ss.com/column/0026.html
8
オートラン・ウイルスのよくあるQ&A
Q. 感染源は USB メモリだけ?
いいえ、音楽プレイヤーの iPod や NAS などからも感染します。「マイコンピュータ」に表示されるすべてのドライ
ブに注意してください。
なお、2009年1月28日のコンピュータソフトウェア協会のセミナーに参加したときに、トレンドマイクロ株式会社
上級セキュリティエキスパート 黒木 直樹 氏がお話されていましたが、ユーザーがウイルス・サイトに飛ばさ
れてしまったために USB ウイルスに感染した事例もあるそうです。
つまり外部で使用した USB メモリは特に要注意し、また怪しいサイトや迷惑メールは開かないといった総合的な
ウイルス予防も大切です。
Q. プリンタに内蔵されているハードディスクにも感染しますか?
業務用のプリンタ(プロッタ)にはハードディスクが内蔵されているものもありますが、これらには感染しません。
あくまでも「マイコンピュータ」に表示されるドライブのみです。
Q. USB メモリ内のウイルスを駆除する方法は?
パソコン本体が正常であれば(オートラン・ウイルスに感染していなければ)、USB メモリ内のウイルスを削除す
るだけで駆除できます。
ただし注意点もあります。レジストリを修正し、自動実行を無効にしたり、手動で自動実行を無効にしても、オート
ラン・ウイルス本体をクリックしてしまうと(手動で実行してしまうと)、ウイルスに感染してしまうことです。
操作ミスするかな?! と半信半疑な方は、USB メモリ内の必要なデータをパソコンに移してから、USB メモリを
フォーマットされると良いでしょう。
オートラン機能を無効にする方法 http://www.orange-ss.com/column/0026.html
9