Windows Recovery ウィルス ― 2011年06月06日
土曜日、怪しいサイトを見ていたら、Windows VISTA Recovery ウィルスに感染してしまった。
「ハードディスクに重大なエラーが生じたため、リカバリーしている」ように見せかけ、「リカバリーに失敗したので、この商品を買いなさい」と言うような趣旨のページに案内し、クレジットカード情報を入力させる、タチの悪いウイルスです。手の込んだことに、タスクマネージャーが立ち上がらなくなり、ファイルもどんどん見えなくなって、あたかもHDDが本当に壊れているように見えます。
そこで、他のユーザーIDでLOGINすると症状は出ない、HDDのエラーチェックも、問題なし。タスクマネージャーは当然のごとく立ち上がる。タスクマネージャーを立ち上げて、プロセスを見ると、ランダムな数字の羅列の様な名前の実行形式が動いているので、これを強制停止。再び、元のユーザーIDに戻ると、Windows VISTA Recoveryは消えていました。
怪しい実行形式は、Program Dataの直下にあったので、こいつを隔離して、これでOKと思い、シャットダウン後、立ち上げると、やっぱり、Windows VISTA Recovery ウィルスが活動。ランダムな数字の羅列の様な名前の実行形式(前と名前が違う)が動いていて、Program Dataの直下に実行形式が出来ている。
そこで、スタートアップエディターで、スタートアップを見ると、ランダムな英字の羅列の様な名前の実行形式が立ち上がるようになっているので、これを動かなくしたら、今度は、再起動しても、ウイルスの活動はなくなりました。この実行形式もやはり、Program Dataの直下にありました。
ウイルスは活動しなくなったのだけれど、ファイル属性が、見えないように書き換えられている。ユーザーホルダーのファイルを一括して見えるように属性を変更。
マイクロソフトの無料ウイルスソフトを使っているのだけれど、見つけてくれない。Program Dataの直下にある怪しい実行形式は隔離し、今のところ、ウイルスの活動は無いのだけれど、不安です。どうすればいいのでしょう。
ということで、日曜日は、ウイルス駆除で1日使ってしまった。
追記1:
HKEY_LOCAL_MACHINEのSOFTWAREのMicrosoftのShared ToolsのMSConfigのstartupreg にウイルスを実行させるためのレジストリーが追記されていたので、こちらも削除しました。
追記2:
マイクロソフトの無料ウイルスソフト(Microsoft Security Essentials)が今日になって、ウイルスを削除しました。ただし、英字名の実行形式だけ。
追記3:
このウイルスの変種です。
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Trojan%3aWin32%2fFakeSysdef&threatid=2147639286
「ハードディスクに重大なエラーが生じたため、リカバリーしている」ように見せかけ、「リカバリーに失敗したので、この商品を買いなさい」と言うような趣旨のページに案内し、クレジットカード情報を入力させる、タチの悪いウイルスです。手の込んだことに、タスクマネージャーが立ち上がらなくなり、ファイルもどんどん見えなくなって、あたかもHDDが本当に壊れているように見えます。
そこで、他のユーザーIDでLOGINすると症状は出ない、HDDのエラーチェックも、問題なし。タスクマネージャーは当然のごとく立ち上がる。タスクマネージャーを立ち上げて、プロセスを見ると、ランダムな数字の羅列の様な名前の実行形式が動いているので、これを強制停止。再び、元のユーザーIDに戻ると、Windows VISTA Recoveryは消えていました。
怪しい実行形式は、Program Dataの直下にあったので、こいつを隔離して、これでOKと思い、シャットダウン後、立ち上げると、やっぱり、Windows VISTA Recovery ウィルスが活動。ランダムな数字の羅列の様な名前の実行形式(前と名前が違う)が動いていて、Program Dataの直下に実行形式が出来ている。
そこで、スタートアップエディターで、スタートアップを見ると、ランダムな英字の羅列の様な名前の実行形式が立ち上がるようになっているので、これを動かなくしたら、今度は、再起動しても、ウイルスの活動はなくなりました。この実行形式もやはり、Program Dataの直下にありました。
ウイルスは活動しなくなったのだけれど、ファイル属性が、見えないように書き換えられている。ユーザーホルダーのファイルを一括して見えるように属性を変更。
マイクロソフトの無料ウイルスソフトを使っているのだけれど、見つけてくれない。Program Dataの直下にある怪しい実行形式は隔離し、今のところ、ウイルスの活動は無いのだけれど、不安です。どうすればいいのでしょう。
ということで、日曜日は、ウイルス駆除で1日使ってしまった。
追記1:
HKEY_LOCAL_MACHINEのSOFTWAREのMicrosoftのShared ToolsのMSConfigのstartupreg にウイルスを実行させるためのレジストリーが追記されていたので、こちらも削除しました。
追記2:
マイクロソフトの無料ウイルスソフト(Microsoft Security Essentials)が今日になって、ウイルスを削除しました。ただし、英字名の実行形式だけ。
追記3:
このウイルスの変種です。
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Trojan%3aWin32%2fFakeSysdef&threatid=2147639286
