職場のマシンが感染したよ

とにかくめんどくさかったので、記録としてここに書いておこう。あまり役に立つ情報じゃないけれども、書いておけばラバーカップの時のように誰かが役に立ててくれるかもしれない。いや、でも、ラバーカップの使い方でお礼を云われたときには面食らったなあ(笑)。


職場のマシンがウィルスに感染しました。USBメモリを介して感染していくタイプで、ノートン先生の監視網をくぐり抜ける非常に厄介なヤツです。私のUSBメモリも感染していました。面目ない。ノートン先生でチェックして大丈夫だったので、かなり油断していました。感染したUSBメモリには必ず「autorun.inf」がありますので、まともなアンチウィルスソフトがあれば、何らかの形でそれを発見してくれると思います。特に覚えがないのに「autorun.inf」が検出されるようになったら、感染している危険性です。

この「autorun.inf」、ドライブを開いたときに所定のプログラムを自動実行させるための設定ファイルのようなのですが、システムファイル属性と隠しファイル属性がついており、通常は隠れていて見えません。このウィルスはレジストリを一部いじって隠しファイルが見れないようにレジストリを改変するため、フォルダオプションから隠しファイルを見れるようにする、通常の手段を用いることが出来ないようになっています。実際に実行しても無効化され、隠しファイルが見れるようにはなりません。

さて、実際に感染しちゃったひとは、たぶんアンチウィルスソフトが「autorun.inf」を検出するようになって気がつくと思います。この状態でUSBメモリを突っ込むと、まず間違いなくUSBメモリが感染しますので、やめた方が無難です。感染したUSBメモリを突っ込むとPC本体が感染するかどうかは<不明>です。というか、私の経験では、感染したりしなかったりと差がありました。USBメモリを突っ込んだだけではAutorun.infは実行されないという話ですが、詳細は確認していないのでわかりません。ここで云えることはひとつだけ。つまり、感染したUSBメモリをダブルクリックで開くとまず間違いなく感染するぞ、ということだけです。

さて、相手は見えないファイルなので、見えないファイルを確認する手段が必要になりますが、私はとりあえずコマンドプロンプトを使いました。たぶん、これしか手段はないのではないかと思います。マシン本体に感染した場合は、ドライブの直下にautorun.infが出来ますので、つまるところ、ドライブをダブルクリックで開くとウィルスが起動するということです。要注意。マイコンピュータからドライブを開くとウィルスが動くので、削除等の作業には必ずエクスプローラを使いましょう。別にコマンドプロンプトからdelを使って作業してもOKです。

さて、コマンドプロンプトを叩いてUSBメモリのシステムファイル一覧を覗いてみると、不審なファイルがUSBメモリにありました。Eドライブだった場合、とりあえず、

dir /a:h e:\

と叩いておけば、メモリにあるシステムファイルの類いの一覧が見れます。USBメモリにはシステムファイル属性のファイルはあまりないと思いますので、すぐにどれか見当がつくはずです。ウィルス自体にはいろいろと亜種がいるようですが、ウチのメモリにいたヤツは「autorun.inf」、「rrxf.cmd」でした。こいつがautorun.infを作成しているのでしょうか。こいつを確認して、

attrib -s -h e:\rrxf.cmd

としてやれば、rrxf.cmdのシステムファイル属性と隠しファイル属性が取れますので、エクスプローラで目視確認出来るようになります。あとは自由に削除可能。この「rrxf.cmd」、Googleで検索をかけても中国語のページしか引っかかりませんので、おそらく中国製なのではないかと思います。どこから入り込んだんだ、まったく。

で、ここで話が終わればよかったんですがーーだんだん書くのがメンドクサクなってきたな。じつはこのrrxf.cmdを生成しているらしいexeがあって、それがmmvo.exeでした。msconfigでスタートアップ項目を調べたらむちゃくちゃ怪しいexeがあって、ネットで調べてみたらどうやらウィルスらしいということでとりあえず無効化して隔離。USB感染自体はなくなったので、こいつが元凶だと思います。ここまでもってくるのにたっぷり半日。ほぼ未知といってもいいくらい情報のないウィルスでした。めんどくさくなってきたので、箇条書きでまとめましょう。

  1. ある日突然アンチウィルスソフトが「autorun.inf」を検出するようになったら感染の可能性大。
    • アンチウィルスソフトを使っていなかったら、自覚症状はほとんどない。USBメモリを介して感染していく以外に、自覚的な症状はほとんどない。バックドアを作ったりはするかもしれないが、詳細は不明。mmvo.exeがネットに接続しようとするという噂はあるので、ファイアウォールにひっかかるかもしれない。
  2. 通常であれば、フォルダオプションから隠しファイルを見れるように出来るが、この手のウィルスに感染すると、それが実行出来なくなる。実行しても無効化される。
    • これはウィルスがレジストリをいじるため。そのため、ウィルスを手動で削除しても、この現象だけは残る。
    • つまり、この作業をしても各紙ファイルが見れなくなってしまった場合、高確率でウィルスに感染していると云える。
  3. コマンドプロンプトから、dir /a:h e:\ と叩いてメモリのシステムファイルを確認(USBメモリがEドライブの場合)。autorun.infとともに、変な名前のファイルが見えたら、そいつは容疑者。ここでは仮に「rrxf.cmd」とする。状況証拠をそろえて処刑の準備(笑)。
    • autorun.infの中身が読めたら読んでみるといい。open=rrxf.cmdともろに書いてある。つまり、ドライブが開かれた瞬間、rrxf.cmdを自動実行しなさいと記述されている。
  4. 次に、attrib -s -h e:\rrxf.cmd を実行し、システムファイル属性と隠しファイル属性を剥奪する。これで初めて目視確認出来るようになる。
    • ところが、数十秒するとふたたび見えなくなるという現象が発生することがある。後述。
  5. 目視確認したファイルを処刑する。ゴミ箱に放り込んで、それでおしまい。ところがしばらくしてもう一度dirで確認すると、また生成されている。
    • なぜか生成されないパターンの感染端末もあった。ここらへんの詳細は不明。というか、確認してない。自動生成されるものだと考える方がセイフティ。
    • 先に述べた、数十秒するとまた見えなくなるという現象は、「システムファイル+隠し属性」を持ったrrxf.cmdが新しく生成されて、これに上書きされることによる。
  6. 最初はワケがわからなかったのだが、何か別のプログラムがrrxf.cmdを定期的に生成し、上書きしていると考えた。さらに、自動生成するプログラムなのだから、マシンが起動すると同時に起動して、常駐しているはずだと考えた。
  7. msconfigを起動させて、スタートアップ項目を調べてみると、mmvo.exeという、見慣れないプログラムが。
    • ネットで調べてみると、こいつはどうやらウィルスの類いらしいということが判明。ネットの力は偉大である。
    • とりあえずスタートアップから抹消し、マシンを再起動。
    • そうしないと起動するたびにウィルスも起動するため、削除することが出来ない。スタートアップから外すことが第一歩。
  8. 再起動したら、同じ手段でrrxf.cmdを抹消する。こんどはdirで確認しても、それらしいファイルの生成はない。たぶん、これで感染性はなくなったものと考えた。
  9. 次に、このmmvo.exeをどうにかしたい。msconfigを見ているとわかるが、このファイルはsystem32フォルダにある。
    • このファイルもやっぱりシステムファイルで隠し属性なので、同じようにしてattribを使ってすっ裸にする。
  10. とりあえずリネームするなりゴミ箱行きにするなり、お好きにどうぞ。
    • ただし前述の通り、いじられたレジストリが元に戻るわけではない。ただ、ほったらかしていても実害はないに等しい。
  11. これにて作業終了。ほんとに感染性が失われたかどうかは後日確認予定。
    • じつは別のパソコンにはrevo.exeなる別のexeが見つかっている。亜種ではないかと目されるが、詳細は不明。
    • またmmvo.exeは回線を使用し、中国のサイトにアクセスするのだとか何とか。非常に迷惑な話である。
  12. 感染源は不明。感染症屋さんとしては、はなはだ不本意であります。

追記

どうやらこのウィルスは、オンラインゲーム「リネージュ」のアカウントを抜くためのものらしいです。まったく……試しに駆除した端末で再感染させてみたところ、いきなりノートン先生が検出してくれました。詳細は不明。rrxf.cmdというバッチファイル?を動作させた途端だったので、rrxf.cmdがアカウントを抜いているんですかね?原発マシンと思われるPCからは、さらに別の種類のものが検出されています。もはやワケが分からん。