カンボジア産 コンピューター・ウイルス駆除
カンボジア産コンピューター・ウイルス
最近オフィスのパソコンがよくウイルスに感染する。どうやらUSBメモリスティクからのようだ。スタッフは、夜間や週末に大学に通っている者が多く、学校の宿題に使う学校のパソコンや、友人のパソコンからウイルスをもらってくる。
なぜ、カンボジア産のウイルスかというと、ウイルスのプロパティにカンボジアの大学の名前が入っていたりするからだ。あるウイルスは、Cドライブの名前をBBUという名前に書き換える。ウイルスのプロパティを見るとBuild Bright Universityという名前が入っている。カンボジアの外にBuild Bright Universityという大学が知られているいるとはあまり思えないので、カンボジアで作られたと推測できる。
カンボジア産ウイルスの厄介な点は、ノートン・アンチウイルスなどのメジャーな製品では検出できないことだ。アンチウイルスソフトを販売している会社は、ウイルスの発見にあわせて定期的にウイルス定義ファイルを更新し、その定義ファイルにもとづいて、アンチウイルスソフトはウイルスを検出する。しかしカンボジア産ウイルスの情報はまだアンチウイルスソフト会社に知られていないか、あるいは知られていても脅威頻度が低いとみなされていてウイルス定義ファイルに含まれていないようだ。
まあ、カンボジアの中でちゃんとアンチウイルスソフトを購入している人間はごくわずかなので、金の払わないやつのために、ウイルス定義ファイルを更新するのは、アンチウイルスソフト会社にとって馬鹿らしいのかもしれない。一方ウイルスを作ったやつは、自分の作った「作品」が世界的なウイルスソフトの定義ファイルに含まれる日をひそかに願っているのかも知れないので、そんな輩の自尊心を満たさないためにもウイルス定義ファイルに含めないほうがいい。
カレンダーウイルス
このウイルスの実行ファイル名はさまざまである。コンピュータのアカウント名を使うこともある。
症状は、
などである。
他にも悪さをするのかも知れないが、今のところ詳細は不明である。
パソコンからの駆除
- タスク・マネージャーが起動しないので フリーのプロセスビューワーPrcview.exeを起動。
- 見慣れないKingston.exe(この名前はいろいろ変わる)というのがあったので、これを停める
- タスク・マネージャーを起動すると、起動するようになったので、とりあえずウイルスは停止した
- msconfigを開くと、Kingston.exeをパソコン起動時に起動するようになっていた。Kingston.exeのパスをチェック
- Kingston.exeはアイコンにフォルダ・アイコンが使われている。知らずにフォルダと思ってダブルクリックするとウイルスが走る仕組みだ。
- プロパティを見るとカンボジア産のようだ
- Kingston.exeのサイズが392KBであるので、このサイズに近いファイルを全部検索
- 他のディレクトリにもKingston.exeがいくつか見つかったので削除
(時々send toにもコピーが作られる)
- あと、デスクトップの背景を元に戻して、windowsフォルタに作られているセンスの悪いカレンダービットマップを消しておく
USBスティクからの駆除
もしUSBスティクも感染している可能性があれば、それもUSBスティクも駆除する。しかしそのまま挿したのでは、またパソコンが感染するので
- ディスクのAutorunを停める。PowerToyを使ってAutorunを無効にしておく
- USBスティクを挿したときに、新しいフォルダアイコンが、マイコンピュータにできるが、USBスティクの中を見る時にそのフォルダアイコンをクリックしない。(クリックするとAutorun実行されてしまい、ウイルスに感染する。)
- USBスティクの中を見るには、右クリックからエキスプローラーを選ぶ
- 「フォルダアイコン」の形をした実行ファイルがあれば削除
- autorun.infができていたら、ノートパッドで開き、呼び出している実行ファイル特定し削除
下が実際のautorun.inf shell\Open\commandが指定してあるので、USBドライブを「開く」だけでBoot.exeが実行される
[Autorun]
shellexecute=Boot.exe e
shell\Open\command=Boot.exe e
shell=Open