2008年10月31日

ウイルス対策ソフトで検出されないワームの完全駆除方法


ここでご紹介するのは、ウイルス対策ソフトで認識されず、無数にファイルを作成しようとするウイルスの完全駆除方法です。

ウイルス対策ソフトはTREND MICRO社のウイルスバスター2008、およびSymantec社のAntivirusのいずれも最新版です。

確認されたウイルスは、USBメモリースティックなどリムーバブルドライブを通じて感染するワームタイプで、TREND MICRO社の分類ではWORM_VB.EMHという名前が付けられています。ODBCJET.exe、Cn911.exeなどのウイルスファイルをコピーします(この二つがどういう関係にあるのか分かりません)。

同社のサイトに手動の駆除方法が書いてありますが、これでは駆除できません。パソコンの中にワーム(「親ウイルス」)がうごめいていて、時より活動を開始します。この駆除には3ヶ月かかりました(汗)。

なぜ3ヶ月もかかったかというと、ウイルス対策を掲げるサイトは無数にあるものの、役に立つ情報を掲載しているサイトが少ないからです。

特に、このワーム退治は難しく、具体的な完全駆除方法はどこにも書かれていません。このため、自分で行った完全駆除の経験をまとめることにしました。




このワームが動き出した時だけ、ウイルス対策ソフト(以下、「対策ソフト」という)が反応し駆除を開始しますが、ウイルスはTempホルダーに無数のファイルを作り出します。駆除の速度より増殖の速度が速いためかもしれません。プログラムの起動順位などの関係で。

ウイルス対策ソフトが「駆除しました」というメッセージを何度も表示します。1分間に20回も。これでは、仕事になりません。でも、動き出すのは1日2、3回程度。時間も10分から1時間くらいと不定期です。
対策ソフトによってウイルスの駆除はできているのでしょうが、Tempホルダーに大量のファイルが作成されること、および対策ソフトの「駆除しました」というメッセージを100回以上もいちいち消さなければならないなど、非常に不快な環境となり、放置しておくわけにもいきません。

対策ソフトでパソコン全体をスキャンしても、「親ウイルス」を見つけることはできません。

ウイルスの駆除は対策ソフトが行うので、ここでは対策ソフトが見つけることのできない「親ウイルス」の探し方をご紹介します。
(今年初めのことなので、詳しいことは忘れてしまいました。手順だけのご紹介となります。)

1.ウイルス名、ウイルスタイプ、危険度、感染経路、ダメージレベル
(1) ウイルス名: WORM_VB.EMH (TREND MICRO社の分類)
別名:ブイビー, Trojan-Downloader.Win32.VB.anf (Kaspersky), New Malware.dq !! (McAfee), Trojan Horse (Symantec), TR/Dldr.VB.anf.71 (Avira), is a security risk named W32/Downldr2.ZRA (F-Prot), Worm:Win32/VB!D4DC (Microsoft)
 (2) ウイルスタイプ:ワーム。
 (3) 危険度:低い
(4) 感染経路:分かりません。TREND MICROでは「感染報告の有無 なし」となっています。
(5) ダメージレベル:高

2.感染の症状
確認された症状は以下の通りです。
@ 対策ソフトがウイルスを発見し、駆除。
A 駆除されたウイルスファイルは、ODBCJET.exeまたはCn911.exe、または両方。
B ところが、駆除しても、毎日、ウイルスが検知され、検出・駆除の繰り返し。Tempホルダーに無数のファイルが作られる。その拡張子は変化する。
C ウイルスを生成する親ウイルスがパソコンの安全なところに隠れていて、対策ソフトに検知されずに、毎日、子供ウイルスを生成している、という感じがする。

3.対策の経過
@ この「親ウイルス」を駆除しないかぎり問題は解決しない。しかし、どこにいるのかまったく分からない。
A TREND MICROの手動削除の方法は、親ウイルスを対象としていないので役に立たない。そのとおりにやったが効果なし。
B レジストリを上記2つのウイルスファイルで検索。見つかり、そのファイルを削除したが状況に変化なし。その後はこの2つのファイルは検索されなくなったが、ワームは確実に動いている。どうも、レジストリ上には、ウイルスファイル名は書かれていないのかもしれない。
C ウイルスが活動を始めた時に、タスクマネージャで起動しているプログラムの監視をしたが、怪しいプログラムはなかった(ひとつひとつチェックした)。
D 「親ウイルス」を探すために、ウイルス対策を専門としているサイトの力を借りることにする。

4.駆除方法
数万もあるファイルの中から、対策ソフトも検出できない親ウイルスを探すのは至難の業。そのため、専門サイトのお力を借ります。
サイト名は「higaitaisaku.com」です。2002年から運営されているサイトです。
以下のURLから入ってください。
http://www.higaitaisaku.com/hijackthis.html

ここでは、「HijackThis」というTrend Micro社が配布し、世界的に使われているソフトを使った検出方法を紹介しています。
丁寧に説明されていますので、そちらをご覧ください。

このHijackThisは、Merijn 氏が開発したアプリケーションで、パソコン内のスパイウェアやウイルスなどに改ざんされることが多い場所の情報を、一覧にしてログとして出力する機能をもっています。現在は、Trend Micro 社が開発を担当し、Ver.2.0.2を配布しています。
ただし、「HijackThis」はスパイウェア検出プログラムではありません。「原則として良いものも悪いものも含めてシステムの状態をレポートするだけですので、検出されたものすべてをFixしては駄目です」、と書かれています。

 手順に従い、検出されたリストの中から怪しいと思われるファイルを見つけ出すことになります。
 私の場合は、これで見つけ出し、そのホルダーを削除することで問題解決したのですが、どこにそのホルダーがあったのか記録していません。まさか、この記事を書くとは思わなかったので。メモしておけば良かった。

ただ、リストを見ていると怪しそうなホルダーは数個に絞られます。それを一つずつ確認しながら見つけ出す作業はそれほど面倒ではありません。私は1回で見つけ出しました。

見つけるコツは、検出されたホルダーの上位ホルダーを見ることです。上位ホルダーがウイルス対策やワープロソフト、よく知っているソフトなどの場合は除外しても大丈夫だと思います。ただし、最近インストールしたフリーソフトのホルダーなどは疑った方がよいかも。

とにかく絞り込むことで、作業を軽減できます。

でも、間違って必要なホルダーを削除すると大きな障害が発生する恐れがあるので、何度も確認してから削除してください。

原因となった親ウイルスは、ウイルスがつくったホルダーに入っていました。つまり、どこか既存のホルダーの中に入り込んだわけではないということです。

{xxxxxxxx-yyyy-zzzz・・・・・・・・・・・・・・・・・・・・・・} というような{ }で囲まれたホルダー名でした(同じ文字が並んでいるという意味ではありません。念のため)。




操作は、「自己責任」で、慎重にお願いします。上記サイトの記事をよく読んでください。
重要ファイルのバックアップは必須です。
立ち上がらなくなってもよい、という状態で作業した方がよいと思います。メールのバックアップもお忘れなく。

 この方法は、多くのワームの駆除に利用できるのではないかと思います。
 駆除の成功をお祈りしています。

posted by ネコ師 at 19:09 | Comment(0) | しつこいウイルス駆除 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
記事に関係ないコメント、宣伝的なコメントは削除させていただきます。
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。

▲ このページのTOPに戻る