kavo ウィルス感染・駆除体験記(2008/1/23)
顛末
- 2008/1/11頃データをUSBメモリーに入れて共用パソコンで処理した。このとき、共用パソコンからUSBメモリーに感染したと思われる。
- その後自宅に持って帰ったUSBメモリーからパソコンに感染。AVGでは感染の防止はできなかった。
spybotはレジストリの書き換えを検知したが、不用意に許可したためにレジストリも書き換えられた。
(1/11 14:00頃)
- iTunedを使ってiPodにCDから音楽をインポートしている過程で、ディスク不足に陥り、相談を受ける。
そのときに、AVGがNSAntiを検出していることも判明、ウィルスとの戦いを開始。
(1/18頃)
- USBメモリーからの感染が疑われたので、感染を阻止できなかったAVGをウィルスバスター2008試用版に変更して検索・駆除
- その後、パソコンを調査中に、怪しい実行ファイル(kavo.exe)が、スタートアップに登録されていること、隠しファイルや隠しフォルダが表示できないこと等が判り、完全には復旧していないことが判明。
- ネットを検索して、この種のウィルスの検出・駆除にはNOD32が有効であることが判明したので、NOD32試用版を導入、検索・駆除
- 検索駆除によっても、レジストリの復旧等はできないので、実行ファイルの登録解除、隠しファイルや隠しフォルダの表示、ダブルクリックでドライブが開かない現象の解決方法を調査
- 最終的に、レジストリの手動書き換えにより、実行ファイルの登録解除、隠しファイルや隠しフォルダの表示を復旧、autorun.infファイルの削除によりダブルクリックでドライブが開かない現象を復旧
- 最後に感染原因となったUSBメモリを検索・駆除・復旧念のために調べた。iPodの動作自体に影響は無いが、iPodでもウィルス感染を発見、検索・駆除を行った。
(1/20)
感染防止対策
- アンチウィルスソフトによる監視
ウィルス対策ソフトの検出・駆除能力は日々向上しているので時が経てばNOD32以外のソフトも対応している可能性が高い。
今回のウィルスは中国発祥のようなので、現在は中国製のアンチウィルスソフトを試してみる。
アンチウィルスソフトの検出力は定義ファイルによるが、ヒューリスティックスキャン機能により保管できるので、この機能を持ったものが望ましい?
今回は、ウィルスだけでなくルートキットも含まれていたので、これに対応したものが望ましい。
場合によっては、ルートキット検出・駆除ソフトとの併用も考える。
- spybotの常駐保護(TeaTimer)のONにして、レジストリ書き換えの監視
SpyBotのインストール方法
- レジストリの手動書き換えによる、自動起動の禁止
レジストリエディタで、以下の変更実施
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ExplorerのNoDriveTypeAutoRunの通常は91の値をb5とする
- autorun.infフォルダによるautorun.infファイル作成予防
各ドライブのルートディレクトリにautorun.infフォルダを作成しておく
復旧手順等
- いずれの場合も、周辺で使ったUSBメモリー等の外部接続ドライブを検索・駆除・予防措置をしておく
- 一番簡単な復旧方法
ディスクの初期化、システムの再インストール
データのバックアップを取って、初期化、システムの再インストール後、データを復旧する場合は感染防止策を取ってからデータを復旧する。
- 二番目に簡単な復旧方法(詳細は下記参考URL)
- NOD32試用版、SpyBotをインストール
- インターネット一時ファイルの削除
- すべてのドライブでシステムの復元を無効にする
- ファイル・フォルダ検索
詳細設定オプション
・システムフォルダの検索
・隠しファイルとフォルダの検索
・サブフォルダの検索
にチェックを入れ、検索条件 kavo or mmvo で検索、削除
- タスクマネージャーで、kavo、mmvo関連プロセスを終了させる
- NOD32でフルスキャン
- 再起動してから、レジストリー復旧、autorun.infの削除
レジストリー復旧のためのレジストリファイル例
注)ファイル名やレジストリーのキー名が全く同じとは限らないので、類推する必要がある。
私の場合も、基本的にはkavo関連ファイル(kavo*.*、mmvo*.*)がウィルスファイルであったが、一部異なるファイル名(3g08.bat、g2p3s.exe、t.exe)のウィルスファイルも見つかった。
-----ここから-----
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000b5
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"kava" = ""
"mmva" = ""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"ShowSuperHidden"=dword:00000001
-----ここまで-----
autorun.infの削除のためのバッチファイル例
-----ここから-----
rem disable autorun.inf
attrib -r -h -s c:\autorun.inf
ren c:\autorun.inf c:\autorun.inf.bak
mkdir c:\autorun.inf
attrib -r -h -s d:\autorun.inf
ren d:\autorun.inf d:\autorun.inf.bak
mkdir d:\autorun.inf
attrib -r -h -s e:\autorun.inf
ren e:\autorun.inf e:\autorun.inf.bak
mkdir e:\autorun.inf
attrib -r -h -s f:\autorun.inf
ren f:\autorun.inf f:\autorun.inf.bak
mkdir f:\autorun.inf
attrib -r -h -s g:\autorun.inf
ren g:\autorun.inf g:\autorun.inf.bak
mkdir g:\autorun.inf
-----ここまで-----
参考URL