情報セキュリティなんでも相談室 第10回 USB感染型ウイルスの駆除の方法を教えて下さい[前編] | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.17(水)

情報セキュリティなんでも相談室 第10回 USB感染型ウイルスの駆除の方法を教えて下さい[前編]

 顧客からUSB感染型ウイルスに掛かってしまい、駆除してほしいとの依頼を受けました。以前同じ依頼を受けた時は、フォルダオプションで隠しファイルを表示する設定に変更し、感染したファイルを全て手動で削除することでなんとか駆除できました。しかし、今回のウイルス

特集 特集
 顧客からUSB感染型ウイルスに掛かってしまい、駆除してほしいとの依頼を受けました。以前同じ依頼を受けた時は、フォルダオプションで隠しファイルを表示する設定に変更し、感染したファイルを全て手動で削除することでなんとか駆除できました。しかし、今回のウイルスの場合は、隠しファイルの表示ができないのです。この場合、未だにウイルスに感染しているままなのでしょうか?また、さまざまなウイルス対策ベンダーから駆除ツールが提供されていますが、ピンポイントでこれだというツールが見つかりません。(隠しファイルが表示できる場合は)手動でファイルを見つけて削除することもできるのですが、もっと簡単にウイルスを駆除する方法があれば教えてください。


◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa



●何に感染しているのかを見極める

 回答から申し上げますと、隠しファイルの表示を妨げているのはウイルス自身であり、そのPCは、未だにウイルス感染状態にあると思われます。この種類のウイルスは現在、変種・亜種が多く、一つの駆除ツールで一網打尽にすることはできません。

 よって、自分は何に感染しているのかをしっかり見極めた後に、そのウイルスにあった駆除ツールや、手動による駆除が必要となります。(詳細は後ほど)

 また、手動で駆除する場合の重要なポイントとしては、セーフモードとコマンドプロンプトを利用して、PCをウイルス感染状態でないように、つまり、ウイルスが実行しない様に起動することです。これによりウイルスによる駆除妨害もなくなり、感染ファイルの削除が容易になります。(詳細は後ほど)

●USB感染型ウイルスの台頭

 独立行政法人 情報処理推進機構(通称IPA)は2008年12月、USB感染型ウイルスに関する届出が急増しているとして注意を呼びかけました。同年11月中に届け出があったウイルスの数はおよそ25万6,000件。そのうちのおよそ10万1,000件はUSBウイルスだったからです。W32/AutorunがIPAに最初に届出があったのが2007年9月です。それから毎月徐々に届出が増加して、2008年9月は1万1,722件、10月は6万2,555件、11月は10万1,090件になり、とうとうW32/Autorunは、W32/Netskyに次ぎ日本で2番目に感染が広がっているウイルスとなってしまいました。

●USB感染型ウイルスの歴史と進化

 2000年3月、USB感染型の原型ともいえるウイルスW32/Autoworm.3072 が登場しました。これは、サイズがおよそ3KBで、実行されると、FDDを含む全ての利用可能なドライブのルートディレクトリに、AutoWorm.exe という名前のウイルスファイルを作成し、また、AutoWorm.exeを自動起動するためのAutorun.infというファイルを作成する原始的なものでした。当時、Autorun.infファイルは、CD-ROM がアクセスされた時に、Windowsによって自動的に処理するための仕組みでしたので、ウイルスは、FDDやHDDがアクセスされた時には実行しませんでした。また、当時はUSBメモリが未だ普及していなかったために、ウイルス作者はUSBメモリへの感染を意識していなかったと考えられます。

 しかし、2007年になるとUSBメモリを意識したウイルスが立て続けに登場しました。これらはW32/Autoworm.3072が進化したものだといえます。2007年には、W32/Lewor (レウォー)、W32/Dotex (ドテックス)、W32/Gammima (ジャミマ)、W32/Silly (シリー)、W32/Liar (リアー)、VBS/Lido (リド)、W32/Autorun (オートラン)、W32/Gexin (ジェキシン)、W32/AHKHeap (エーエイチケーヒープ)、W32/Knight (ナイト)、W32/Niuniu (ニウニウ)などが発見され、2008年にはW32/Kaxela (カゼラ)、W32/Joydotto (ジョイドット)などが発見されています。

●近年のUSBメモリ感染型ウイルスの特徴

 多くのUSBメモリ感染型ウイルスは、ほぼ同様な感染方法をとります。まず、感染しているUSBメモリをPCに接続すると、USB内の「autorun.infファイル」によってUSB内のウイルスが自動実行し、ウイルス自身と「autorun.infファイル」をPC側にも作成し、次にPCの起動時に、PCに作成したウイルスが自動実行するようにさまざまな形で感染します。つまり、このPCが次に起動した時は既にPCのメモリでウイルスが実行されている状態、すなわちウイルス感染状態になります。

 次に、ウイルス感染したPCでクリーンなUSBメモリを使ったときに、USBメモリにウイルスがコピーされ、そのウイルスを自動実行させるための「autorun.infファイル」がUSBフォルダ内に作成されます。このようにして、PCからUSBメモリへ、そしてUSBメモリから他のPCへと感染を拡大していきます。

 最近のUSB感染型ウイルスは、どれも感染手法は似ているのですが、PCが感染状態のとき(ウイルスが実行中)は、利用者による感染ファイルの検知や駆除をさまざまな方法で妨害します。
ご質問者のPCは、まさにこの手のウイルスに感染しているに相違ありません…


【執筆:せきゅバカ一代】
<執筆者略歴>
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。


◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

【関連記事】
情報セキュリティなんでも相談室 第11回 USB感染型ウイルスの駆除の方法を教えて下さい[後編]
https://www.netsecurity.ne.jp/3_12852.html

──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★~(=^・ω・^)ノ☆★11月30日まで Scan PREMIUM 20周年特別半額キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★11月30日まで  Scan PREMIUM 20周年特別半額キャンペーンを実施中 ★★

創刊 20 周年の感謝と御礼をこめ、通常年間 23,333 円(税抜) で提供されるScan PREMIUM ライセンスを、半額以下である 9,900 円(税抜)で 提供するキャンペーンを、11 月末日まで実施します。

×