FC2ブログ

mmvoとの戦い(追記版) 

最近、匝はウイルスモード。この忙しい時に…。

専務殿の時は“Security Toolbar7.1”に悩まされ、どうにか正常に戻した。
社長のPCは“Win32/Pacex.Gen”に感染されてしまったが、いまひとつ感染ルートがわからない。本当にgoogleツールバーが原因だったのだろうか…

さて昨日は、とうとう会社の匝のPC2台がmmvoというのに感染。これはUSBメモリを通して増えていくウイルスらしい。

ネットに接続されたPCに自宅で作業したUSBメモリを差し込んで開くと、NOD32による警告が表示された。このUSBメモリは土曜に会社で作業したものを自宅で使い、会社に持ってきたので自宅のPCが原因かと思った。そもそも自宅のNOD32Smartは何も教えてくれなかった。
あとから検証すると、USBメモリが自動的に開かず手動で開く限り感染しないらしい(詳細不明)。
再度、家のPCで問題のUSBメモリを差しても警告は出ず。ただしUSBメモリを検査すると“9rhtx.bat”にウイルスがいることがわかり駆除した。

ところで困ったのはセキュリティを施していないネット非接続のPCにも感染したこと。まさかUSBメモリ専門で広がるウイルスがあるとは認識が甘かった。

とにかくmmvoはNOD32で駆除できるのはわかったので、NOD32をインストール。このままではバージョンが古いのでウイルスを発見できても駆除できない。そのためネット接続を設定して更新ファイルをインストール。でも検査、駆除するもどうもうまく駆除できていない。

mmvoは、自分の存在がわからないように不可視ファイルであり、さらにフォルダ内の不可視ファイルを見えるように設定しても、mmvoが無効にしてしまう(常に不可視ファイルは見えないように設定を戻すのだ)。少なくともこの状態は駆除されていない可能性が高い。NOD32で駆除してもこの状態が変わらないのでレジストリが変更されているらしい。

今日は第2ラウンドである。

USBメモリの利用状況とNOD32の警告順序からの感染ルートは次のように推定している。

会社のネット非接続PC(感染)→家のPC(感染せず警告なし)→会社のネット接続PC(警告)

つまり感染源は会社の非接続PCだが、最近これにUSBメモリを差したのは社長のPCから移した自分のメモリと、写真をもらったK氏のメモリ。mmvoが“Win32/Pacex.Gen”と判定されているので社長のPCがウイルスにやられたときに移ったか(ただNOD32が防御していたが)、K氏のUSBメモリが感染していたかだろう。いずれにせよ、K氏のメモリは匝のPCルートとしてもK氏自身が感染源としても感染している可能性は極めて高い。駆除しなければ…。



感染ルートを推定していたが、K氏ではないようだ。当時の状況を思い返してみると、顧問のパソコンから感染した可能性もある。社長のPCの前に顧問のPCにメモリを差してデータのやりとりをした。その後、社長のPCへskypeをインストールする際にそのメモリを社長のPCに差した。そうそう、そこでgoogleツールバーもインストールしてしまうのだが、同時にメモリに入ったウイルスが感染してしまたのだろう。googleツールバーのせいにしてしまた~、バカ、バカ、バカ。

会社のPCは朝の早いうちに対応が完了。駆除後も設定を正常にするのに手間取ったが直りました。ネットにつないでいなからといって安心してはいけないな。

駆除の参考としたサイト

http://ameblo.jp/counteract-poison/entry-10073675109.html

http://journal.mycom.co.jp/column/winxp/215/

2008-4-8 21:05 追記



スポンサーサイト



コメント

コメントの投稿















管理者にだけ表示を許可する

トラックバック

この記事のトラックバックURL
http://eniguma.blog85.fc2.com/tb.php/766-d7ce247c