トロイの木馬に感染してしまいました。

トロイの木馬に感染してしまいました。

昨日ウイルスバスターにてウイルススキャンを行ったところ、WORM_TATERF.BNというウイルスが検出されました。G:\と表示されていたので、ＵＳＢからの感染かと思われます。隔離ファイルが形成されていましたが、ウイルスバスターＨＰには対応方法に手動での削除方法が掲載されていたので、そちらをやってみようと思いました。しかし、削除しろとあるレジストリの値も見つからず、ワームが追加したであろう"AUTORUN.INF"の文字列もHPに掲載されているものと違い、特に問題はなさそうでした。この場合はウイルスバスターが隔離した隔離ファイルを削除するだけで大丈夫なのでしょうか？

稚拙な文章になりましたが、ご意見、解決策がありましたら、回答よろしくお願いします。

No.4 ベストアンサー 回答者： ryu-fiz 回答日時： 2010/02/22 17:58

お礼読ませていただきました。

PC本体への感染の波及に関しては問題ないようです。
"C:\TOSAPINS"などから見つかったautorun.infは、アプリケーションソフトのインストールを自動的に開始させるためのものであり、感染に繋がるものとは言えません。あくまでも各ドライブのルート、特にハードディスクドライブのそれに置かれたautorun.infが疑わしい、ということなので、その辺は問題ないでしょう。

感染の根源となるファイルもGドライブから隔離済みですので、現状大丈夫と判断してよろしいかと思われます。

なお、自動実行無効化によって、例えばUSBメモリやCD-ROMなどを挿入しただけでインストールが開始されるなどと記されたアプリケーションソフトに関しては、その通りにインストールが開始されなくなる可能性が高くなりますし、東芝製PCに標準添付されたアプリケーションソフトのインストールをスタートメニューのショートカットから行う場合にも想定した通りにはならない可能性が高いです。

それについては、autorun.inf内で指定されているファイルを直接実行させることでインストール動作を開始させられますのでご心配なく。今後そうした事態に遭遇して慌てないために、一応アドバイスさせていただきました。

この回答へのお礼

返答ありがとうございます。

autorun.infは必ずしも悪い、というわけでは無いのですね。検索したらたくさん出てきてあせりました。

自動実行無効化も良い点ばかりでは無いのですね。解決法まで教えていただいて、ありがとうございます。

下記に書きましたウイルスバスターの件も継続中ですので、可能でしたら結果を書き込ませていただきたいと思います。

始めはどうすれば良いのか見当もつきませんでしたが、皆様の丁寧な回答のおかげで解決できそうです。親身に回答していただき、本当にありがとうございました。

お礼日時：2010/02/25 10:12

No.3 回答者： ryu-fiz 回答日時： 2010/02/18 00:27

亜種、つまり似て非なるものの検出であった可能性もありますから、もう少し突っ込んで確認しても良さそうです。

ただし、レジストリ値に関しては、トレンドマイクロのウイルスデータベースに記されているそのものズバリでないと判断し辛いでしょうから、放置するしかないかも知れませんが。

AUTORUN.INFについては、亜種である場合、当然中に記されている実行ファイルなどの名称は変わります。だから、同一名称でないから削除の必要はないだろう、という判断は違うと個人的には考えます。

WORM_TATERF.BN - 対応方法
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

*****
[AutoRun]
open=k.exe
shell\open\Command=k.exe
*****

上記URLでは"k.exe"として書かれているファイル名がそちらでは異なる可能性もある、ということです。念のために、記されているファイル名のものがUSBメモリや、PCの他の領域から見つからないことを確認してみてください。

もし見つかるようなら、VirusTotalに送って検査するなどして、削除すべきファイルかどうかの判断をする方がいいです。

Virus Total
http://www.virustotal.com/jp/

あと、PC内の各ドライブ直下に、AUTORUN.INFが存在しないかどうか、一応チェックしてみてください。通常、ハードディスク上のドライブにはAUTORUN.INFは必要ない筈ですので、あれば感染の疑いが濃くなります。

また、ウイルスバスターで全ての感染が検出可能な訳ではないので、こういう機会に別のもので再検査しておいた方が良いかも知れません。次のオンラインスキャンをお勧めします。

@niftyウイルスチェックサービス
http://www.nifty.com/security/vcheck/

以上、質問文中から察するに、危険なものは既に隔離済みである可能性は高いのですが、一応詰めておくべきことは詰めるようにすべきでしょう。

情報処理推進機構：情報セキュリティ：ウイルス・不正アクセス届出状況について（2009年4月分）
http://www.ipa.go.jp/security/txt/2009/05outline …

もし『USBメモリの自動実行の無効化』として紹介されている処置がお済みでないなら、やっておいた方が良いかと思われます。

この回答へのお礼

詳しい回答ありがとうございます。返信が遅れてしまって申し訳ありませんでした。

書き忘れていましたが、パソコンは東芝のdynabook、TXE/68EでOSはvistaです。学生用ですので、色々いらないソフトが入っています。

ryu-fizさんに紹介していただいたniftyウイルスチェックサービスとf-secureを試してみたところ、マルウェアの類は見つかりませんでした。

autorun.infで検索したところ、１１個のフォルダがCドライブから、フォルダ表示されていないものが４個の計１５個が見つかりましたが、ドライブ直下（ルートのことでよろしいのでしょうか？）にあるものはないようです。その内１４個は更新日時がパソコン購入以前のもので、多くがC:\TOSAPINSに、購入後の更新日時のものはC:\Program Files\Trend Micro\Virus Busterという場所にありました。

「USBメモリの自動実行の無効化」はまだでしたので、早速設定しました。ご指摘ありがとうございます。

こうしてみたら？ということがありましたら、ご回答いただければ幸いです。乱文失礼しました。

お礼日時：2010/02/22 11:24

No.2 回答者： zero11 回答日時： 2010/02/17 10:29

隔離した隔離ファイルを削除するだけで大丈夫と思いますが・・・。

念の為、トレンドマイクロのサービスセンターに
受付　９：３０～１７：３０
０５７０－００８３２６
０３－５３３４－１０３５（光・ＩＰ電話なら）

この回答へのお礼

ありがとうございました。

いつの間にか自動で隔離ファイルが削除されたようで、トレンドマイクロに検体を送信すると、何も見つからないので大丈夫だと言われました。

お礼日時：2010/04/17 17:17

No.1 回答者： FEX2053 回答日時： 2010/02/17 10:21

トレンドマイクロのサイトを読む限りでは、「本体だけあって、まだ

感染活動が始まっていない」（バスター君が感染活動を止めたのか？）
状態のようですね。ですので、隔離ファイルの削除だけで大丈夫だと
思います。

http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

まあ、隔離ファイル削除後に、念のためもう一度スキャンを掛けて
おいたほうが正解は正解ですが・・・。

この回答へのお礼

素早い回答ありがとうございます。
隔離ファイルの削除だけで良いのですね。
一応zero11さんの紹介していただいたサイトで、トレンドマイクロのサポートセンターのチャットをやってみますので、そちらで答えが得られましたら、こちらに書き込ませていただきたいと思います。

お礼日時：2010/02/17 12:14