スポンサーサイト 

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Mebrootとの戦い その1 

MBRに潜むウイルス“Mebroot”のお話。

会社のPCに入れてあるアンチウイルスソフトは“NOD32”。これがライセンスが切れるのと現バージョンのサポートが終了するため、V2.7からV4に変更する作業をした。

製造部長のPCの番でNOD32をインストールし再起動すると、赤い警告が!
どうもメモリー領域にいらっしゃるらしい。もう一台のサブPCでは何も出なかったが、検査すると24個も発見された。
ポチッと駆除・削除。NOD32は非常に軽快なアンチウイルスソフトだが、万一入りこまれてもわからない。ウイルスが動き出すと警告が出るしくみなのだ。もっともWEBやメールなどはちゃんとチェックしているので大丈夫。毎回、HDDの検査をしないだけ。

メイン機の方もポチッとするが駆除できず。ないなに“Mebroot”ウイルス、トロイの木馬だと。

この“Mebroot”の特徴はMBRというWindowsの起動に必要な領域に潜んでいるというところだろう。HDDにあるMBR領域に感染し、起動のたびにMBRはメモリ領域にコピーされる。多くのアンチウイルスソフトではMBR領域には手が出せないらしい。

「なるほど。では回復コンソールでMBRを修復すればいいではないか」
なかなかいいアイデアである。リカバリCDで起動し回復コンソールを立ち上げ“Fixmbr”コマンドを実行。

再起動するとBIOS画面から真っ黒な画面に…。あれ?

PCからHDDを取り出し開発部長氏に確認してもらうと、“フォーマットしますか?”などと聞いてくるではないか!
匝の心のダメージは100増えた。

ネットをさまようと“Testdisk”なるソフトがあることを知る。MBRを修復するソフトだ。

ただしHDDでWindowsを起動できず、また自由に使えるPCでHDDを増設できる機種もない。
CDブートしかない。CDブートといえば“knoppix”だ。ちょうど緊急用のknoppixCDもある。そしてknoppixには標準でLinux版のTestdiskも用意されているらしい。

ということで緊急用knoppixで起動したがTestdiskがみつからない。どうもバージョンが古すぎたらしい。
そこでknoppix6をダウンロード。このイメージ(iso)ファイルをCDに焼けば終わりだが、会社の匝PCにはイメージが焼けるライティングソフトが入っていない(いや、あったと思うのだが…)。そこで谷やんに依頼。

仕事の合間に焼いてもらい試しに起動。起動…、なんか黒いままなんですけど。そしてPCから異音が。どうやらCDドライブが繰り返し唸っている気がする。

匝はさらに50のダメージを受けた。かなりへこみましたよ。
今日はここまでにして、寒空の中気晴らしに飲みに行ったわけです。無言酒…。

[つづく]

スポンサーサイト

コメント

コメントの投稿















管理者にだけ表示を許可する

トラックバック

この記事のトラックバックURL
http://eniguma.blog85.fc2.com/tb.php/2048-d7574651

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。