USBに感染するウィルスについての情報

昨日、我が家のPCがUSBに感染するウィルスに感染しました。
対応OSは、Windows XP(SP2) のようです、Vist未確認　2000感染しません。

状況としては、USBメモリがウィルスに感染すると、直下に
desktop.exe
autorun.inf
folder.exe
desktop2.exe
の４つの隠しファイルを作成します。

・感染したPCで今のところわかっていることは、USBをフォーマットしてもフォーマット後に上記４つのファイルが作成されます。
・ファイルのオプションで「すべてのファイルを表示する」に変更しても自動的に「隠しフォルダを表示しない」に変更される。
・C:\WINDOWS\system32\wuauserv.exeが自動起動して、ファイヤーウォールに TCP Telnet Tftp という名前の穴を開ける。
・感染後再起動１・２回目で、Automatic Updates と言う名前でファイヤーフォールのブロックを解除するかどうかの警告が出る。

MRT.exe(悪意のあるソフトウェア削除ツール 2007年9月)で、完全スキャンをしましたが感染していないと言われました。

どなたか、対策法をご存知の方、教えてください。よろしくお願いします。m(_ _)m

No.1 回答者： yoshi-thk 回答日時： 2007/09/29 09:35

今どのウイルス対策ソフトを使っているかわからないですが、

ウイルス対策ソフトのオンラインチェックサイトでウイルス検索するべきでしょう。

そして、そのUSBメモリについては、破棄した方がよいかと思います。
ウイルスに感染したものを使っていても、駆除できない限りは、使い物にはならないです。

ウイルス対策ソフトのオンラインチェックサイトは次のところです。

トレンドセキュリティフレックスオンラインスキャン
http://www.trendflexsecurity.jp/security_solutio …

シマンテックセキュリティチェック
http://www.symantec.com/region/jp/securitycheck/ …

マカフィーフリースキャン
http://www.mcafeesecurity.com/japan/mcafee/home/ …

カスペルスキー：オンライン ウイルス＆スパイウェアスキャナ
http://www.kaspersky.co.jp/virusscanner

No.2 回答者： mi__na#2 回答日時： 2007/09/29 09:56

Ano.1氏の回答のようにまずオンラインスキャンを試すのがよいでしょう。

USBを使いまわしされていた場合は他のPC(VISTA,2000)もチェックの必要があります。

質問の内容をみるとかなりPCには詳しいようですので詳しい回答はいたしませんが、desktop.exe等のファイルはトロイの木馬ワームでよく見られるものです。
>C:\WINDOWS\system32\wuauserv.exeが自動起動して、ファイヤーウォールに TCP Telnet Tftp という名前の穴を開ける。
これは、PCをリモートで操作するためです、PCをのっとられている可能性があります。

>感染後再起動１・２回目で、Automatic Updates
これはWindows Updateの自動更新のサービスです。自動更新を停止させた覚えが無ければ、ウィルスによってブロックされているかもしれません。

お話からすると、かなり悪質なウィルスに感染している様に伺えます。
やはりウィルス対策ソフトの利用がやはりお勧めと思います。

この回答への補足

回答ありがとうございます。
いろいろ調べました。

>>感染後再起動１・２回目で、Automatic Updates
>これはWindows Updateの自動更新のサービスです。自動更新を停止させた覚えが無ければ、ウィルスによってブロックされているかもしれません。

↑と安易にいえないようです。USBに作成されるdesktop2.exeをエディタで開いて中身を見ました。すると　Automatic Updates Microsoft Corporation と書かれた署名を見つけました。偽装しているみたいです。

Vistaはわかりませんが　Win-2000 は感染しません。

まだまだ、情報を募集していますよろしくお願いします。

補足日時：2007/10/01 17:53

No.3 回答者： ryu-fiz 回答日時： 2007/09/29 10:44

質問中にあるUSBメモリが新規に購入したものであり、これを挿したことが直接の感染の原因と考えられる場合には、すぐにメーカーに連絡すべきでしょう。

場合によってはメーカーに既に感染に関する具体的な情報が存在する可能性があります。

>USBをフォーマットしてもフォーマット後に上記４つのファイルが作成されます。

PC本体に既に感染しており、それが原因でUSBメモリに再感染するようになっています。おそらく、別のUSBメモリを挿したり、あるいはフロッピーディスクやCD-Rなど他のメディアに新規にアクセスしても、同様な感染が発生するように思われます。

次のページを見つけました。
http://www.atmarkit.co.jp/news/200707/03/ipa.html

W32/SillyFD-AAの別名であるWorm.Win32.VB.fwや、W32/LiarVB-Aの別名であるWorm.Win32.VB.dfに関してGoogleで検索したところ、a-squaredのアドバイザリページがヒットしましたので、a-squared Freeもしくはオンライン版であるa-squared Web Malware Scannerを利用すると改善される可能性があるように思われます。

http://www.emsisoft.jp/jp/software/free/
http://www.hippo.azimech.net/AtTheSpring/UsingA2 …

当方もa-squared Freeを利用していますが…これを書いている少し前、言語を日本語にした状態ではオンラインアップデートが正常に行えないことを確認しています。その場合は、一旦英語表記に切り替えてアップデートをやり直してみてください。原因は分かりませんが…こちらでは英語表記の状態だとオンラインアップデートが正常に行えました。

なお、a-squared Freeは結構誤検出が多いようです。疑わしい検出があった場合には、かならずファイルのプロパティから素性を確認したり、ウェブ検索を利用して関連情報を探したりして総合的に判断されることをお勧めします。取り敢えず、以前から利用しているアプリケーションやPCにプレインストールされているアプリケーション関連のファイルが検出された場合は、一先ず誤検出を疑った方が良さそうです。

No.4 回答者： ryu-fiz 回答日時： 2007/09/30 00:09

もう少し突っ込んで検索してみました。

キーワードは、

usb desktop.exe autorun.inf folder.exe desktop2.exe

幾つかヒットしましたが…いずれも中国語のページでした。どうやらこの感染、中国製のようですね。中で最もそれらしいものをまずリンクしておきます。

http://www.tykes.tn.edu.tw/modules/news/article. …

このままでは理解しにくいので、次のウェブ翻訳を使うことをお勧めします。

http://babelfish.altavista.com/

"Select from and to languages"は"Chinese-trad to English"を選んでください。

表示された英文を更に別のウェブ翻訳で日本語に約すと、理解が深まりそうに思われます。

個人的な理由で、私自身は今すぐこのページの内容を理解してアドバイスを差し上げることが出来ません。申し訳ありません。

ざっと見た感じ、マカフィーが提供している無償のウイルススキャナ、Stingerで駆除出来る、という記述のようですが。

http://www.mcafee.com/japan/security/stinger.asp

Stingerの使い方は次のページで解説されています。
http://eazyfox.homelinux.org/SecuTool/Stinger/St …

あと、他にもウェブ検索でヒットしたページが幾つかありますが、そのうちの一つを追加でリンクしておきます。何かの参考になれば。
http://zhidao.baidu.com/question/15607426.html?f …

バッチファイルを利用して、一気にかたをつける、という感じの手法が紹介されています。

この回答への補足

たくさん情報ありがとうございます。
こちらも、色々実験してみました。

ます、紹介していただいた　Stringer (stng260.exe) を試してみましたが効果はありませんでした。

中国製というのはあたっていると思います。
autorun.inf　の内容を見てみると

[AutoRun]
shell=verb1
shell\verb1\command=desktop.exe
shell\verb1=打?(&O)
shell=Auto

となっていました　打(中国語)=クリック(日本語)
ですよね～～

ちょっとだけ効果があったのは
マイクロソフトの無料オンラインスキャンでした。↓
http://onecare.live.com/site/ja-JP/default.htm
完全には削除できないようです。

まだまだ、情報を募集中です。よろしくお願いします。

補足日時：2007/10/01 17:47

No.5 回答者： waros99 回答日時： 2007/09/30 02:55

こんにちは。

ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知を欺くMalwareの動作解析みたいなことをやってます。

まあ、Trojan+Wormの複合タイプだと思いますんで、リカバリないしはシステムの再インストールが一番手堅いと思いますよ。

No.6 回答者： waros99 回答日時： 2007/10/02 02:41

#5です。

えっとですね、再セットアップとかやだったらVistaPEでも作成して、CDブートで該当ファイル、起動エントリ削除して下さい。

これを機に、正常時のシステムのイメージバックアップを取っておくといいですよ。ボクも昨日やったばっかりです。Acronis True Imageがお薦めです。

この回答へのお礼

ご回答ありがとうございます。
結局、OSの再インストールになりました。
感染源は、職場のＰＣでした。職場の方の処理が大変でした。

お礼日時：2007/10/18 18:13

No.7 回答者： KAI846 回答日時： 2007/10/18 16:06

私のUSBも同様の感染が確認されました．

しかし，シマンテックをインストールしてあるPCですと，接続時に感染していることを教えてくれ，削除も同時に行います．
そのPCでフォーマットを行うことで，そのUSBは使用可能となりました．
他の方法は試せていませんが，この方法なら確実に除去できると思います．
時間等の余裕がありましたら試してみると良いと思います．

この回答への補足

ご回答ありがとうございます。
お言葉なのですが、商用のウィルス駆除ソフトでは一度感染したものを、完全にクリーンにできないことを確認しています。それが、シマンテックかどうかはわかりません。
過去に流行ったウィルスの亜種なようで、追加された部分は残ってしまうようです。
感染したUSBは一見、何事もないように使用できますが、隠しフォルダは表示できないようになっていて、隠しファイルなのであるかどうかもわかりません。
Windows上ではわかりませんが、DOSコマンドでは確認できますので、コマンドプロンプトから、USBメモリーのパスに移動して dir /a:h と打ってみてください。
desktop.exe
autorun.inf
folder.exe
desktop2.exe
↑が出たら、まだ感染しています。

一度感染したのであれば、これを機会に#5の方の言われたとおりOSの再インストールが確実です。

USBメモリーの方は、↑と同名のファイルを適当に作って中においておくと、上書きして感染しないことを確認したので、感染もウィルスを広めることもありません。

他にもチェックポイントがあるのですが、言葉で書くのは大変なので……

色々調べましたが、中国系のウィルスは何されてるかわかりません…！！
これも良く考えられてますよ。
時間があるのであれば、OS再インストールしてください。バックドア開けられて、何か入れられますよ。

補足日時：2007/10/18 17:59

No.8 回答者： kanata1222 回答日時： 2007/10/20 01:29

まだ確定情報では無いのですが、あくまで参考という形で報告します。

　感染したUSBメモリにメモ帳(作れれば何でもOK)より作成したautorun.infファイルをUSB上に入れ上書きした後、もう一度挿しなおすとオートランが実行されないので隠しファイルが表示されるようになります。
　また、亜種は分かりませんが上書きされないことを自分も確認したので4種のファイルを自身で作り上書きすることにより再感染を防げると思われます。
　私が使っているノートはVista(ウィルスバスター2007を入れてます)なのですが、感染したUSBメモリを読ませてフォーマットかけてコマンドプロンプトで確認したのですが再発している様子がありませんでした。

No.9 回答者： 2kaku34 回答日時： 2008/01/18 15:44

ソフトのインストールが面倒になりますが、autorunを無効にする。

「USBメモリを安易につながないで」
http://www.itmedia.co.jp/enterprise/articles/070 …
OSとウィルス対策ソフトが次第です。（Antinnyも少しかかった）
たまに、製品にウィルスが混在していることがあります。
ロジテック、3.5インチ外付けHDDにウィルス混入
http://pc.watch.impress.co.jp/docs/2007/0129/log …

参考URL：http://dailynews.yahoo.co.jp/fc/computer/interne …

No.10 回答者： Tonji_W 回答日時： 2008/12/06 23:23

今日現在までの戦い？の結果です。

・システムの復元を無効にします
・インターネットのテンポラリーファイルを削除します
・msconfigのスタートアップで「mmvo,mmva,revo,reva,kavo,kava」またはこの類似のチェックをはずす
・セーフモードで立ち上げる
・最後に添付した情報によって作ったbatファイルの実行
・再起動
・ウイルス対策ソフトの更新（とまってたものが動き出す？）
・avastの場合はサイトからリムーブツールでアンインストールして再度インストール
・システムのフルスキャン
・システムの復元の有効化
これで何とかなってる感じです。

batファイルの内容
以下をコピペしてbatファイルとして保存
＊＊＊＊＊＊＊＊＊
rem disable autorun.inf
rem system 復元　Off
rem Internet temp >clean
rem safemode

rem 覚書　＊＊隠しファイル・システムファイルの有視化＊＊
rem regedit HKEY_CURRENT_USER＞Software＞Microsoft＞Windows＞CurrentVersion＞Explorer＞Advanced　の"Hidden"と"ShowSuperHidden" >1
rem regedit HKEY_LOCAL_MACHINE＞SOFTWARE＞Microsoft＞Windows＞CurrentVersion＞Explorer＞Advanced＞Folder＞Hidden＞SHOWALL　の"CheckedValue" >1

rem 覚書　＊＊自動起動の無効化＊＊
rem 「ファイル名を指定して実行」で「gpedit.msc」を実行
rem 「コンピュータの構成→管理用テンプレート→システム→自動再生機能をオフにする」
rem プロパティを開く（ダブルクリック）
rem 「自動再生機能をオフにする」で「すべてのドライブ」を選択
rem 有効をチェック

rem C drive

del /f /a c:\autorun.inf
mkdir c:\autorun.inf
attrib +h c:\autorun.inf

del /f /a c:\06mhfog.com
del /f /a c:\1aq1obb.bat
del /f /a c:\68.exe
del /f /a c:\8e9gmih.bat
del /f /a c:\9rhtx.bat
del /f /a c:\a.bat
del /f /a c:\a0fr.bat
del /f /a c:\add.sys
del /f /a c:\ampfrb.cmd
del /f /a c:\as.bat
del /f /a c:\awqlpyrd.com
del /f /a c:\c.cmd
del /f /a c:\cxx6qa8t.exe
del /f /a c:\desktop.exe
del /f /a c:\desktop.ini
del /f /a c:\desktop2.exe
del /f /a c:\dp.cmd
del /f /a c:\eipctcc.bat
del /f /a c:\f.exe
del /f /a c:\folder.exe
del /f /a c:\g.com
del /f /a c:\h8i.com
del /f /a c:\hbs.exe
del /f /a c:\i2p.bat
del /f /a c:\INFO2
del /f /a c:\ipy.cmd
del /f /a c:\jix9a.bat
del /f /a c:\k.com
del /f /a c:\l1lyxiy1.exe
del /f /a c:\lgnaqil.exe
del /f /a c:\mka.bat
del /f /a c:\mxuclt.exe
del /f /a c:\n6j6pc0.com
del /f /a c:\o.exe
del /f /a c:\o0s.cmd
del /f /a c:\o6hfog.com
del /f /a c:\o6mhfog.com
del /f /a c:\p3th8wb.cmd
del /f /a c:\pg102ga.com
del /f /a c:\q83iwmgf.bat
del /f /a c:\rbt.bat
del /f /a c:\Recycled\desktop.ini
del /f /a c:\Recycled\Df2.exe
del /f /a c:\Recycled\Dh35.dll
del /f /a c:\Recycled\Dh35.exe
del /f /a c:\Recycled\Driveinfo.exe
del /f /a c:\Recycled\INFO2
del /f /a c:\Recycled\voinfo.dll
del /f /a c:\rht.bat
del /f /a c:\spxgfwg.bat
del /f /a c:\sq.com
del /f /a c:\swfu.exe
del /f /a c:\sxs.exe
del /f /a c:\t2yev.com
del /f /a c:\t2yev.exe
del /f /a c:\uvg.com
del /f /a c:\uwlmj.com
del /f /a c:\vmhr.bat
del /f /a c:\w3dn9f.bat
del /f /a c:\wm93r0.com
del /f /a c:\wm93r0.exe
del /f /a c:\wuauserv.exe
del /f /a c:\wvusvigl.bat
del /f /a c:\x0.com
del /f /a c:\xa2c.exe
del /f /a c:\xhlhmbw.exe
del /f /a c:\y1.bat
del /f /a c:\y1.exe
del /f /a c:\y3032.bat
del /f /a c:\yfog8p.exe

del /f /a C:\Windows\Prefetch\8E9GMIH.BAT-"*".pf
del /f /a C:\Windows\Prefetch\hbs.exe"*".pf
del /f /a C:\Windows\Prefetch\O6MHFOG.BAT-"*".pf
del /f /a C:\Windows\Prefetch\Q83IWMGF.BAT-"*".pf
del /f /a C:\Windows\Prefetch\UU.EXE-"*".pf

del /f /a c:\WINDOWS\SYSTEM32\kava.*
del /f /a c:\WINDOWS\SYSTEM32\kava"*".*
del /f /a c:\WINDOWS\SYSTEM32\kavo.*
del /f /a c:\WINDOWS\SYSTEM32\kavo"*".*
del /f /a c:\WINDOWS\SYSTEM32\mmvo.*
del /f /a c:\WINDOWS\SYSTEM32\mmvo"*".*
del /f /a c:\WINDOWS\SYSTEM32\revo.*
del /f /a c:\WINDOWS\SYSTEM32\revo"*".*
del /f /a c:\WINDOWS\SYSTEM32\reva.*
del /f /a c:\WINDOWS\SYSTEM32\reva"*".*

rem D drive

del /f /a d:\autorun.inf
mkdir d:\autorun.inf
attrib +h d:\autorun.inf

del /f /a d:\1aq1obb.bat
del /f /a d:\68.exe
del /f /a d:\8e9gmih.bat
del /f /a d:\ampfrb.cmd
del /f /a d:\as.bat
del /f /a d:\awqlpyrd.com
del /f /a d:\c.cmd
del /f /a d:\desktop.exe
del /f /a d:\desktop.ini
del /f /a d:\desktop2.exe
del /f /a d:\dp.cmd
del /f /a d:\f.exe
del /f /a d:\folder.exe
del /f /a d:\g.com
del /f /a d:\h8i.com
del /f /a d:\hbs.exe
del /f /a d:\i2p.bat
del /f /a d:\INFO2
del /f /a d:\ipy.cmd
del /f /a d:\jix9a.bat
del /f /a d:\k.com
del /f /a d:\l1lyxiy1.exe
del /f /a d:\lgnaqil.exe
del /f /a d:\mka.bat
del /f /a d:\mxuclt.exe
del /f /a d:\n6j6pc0.com
del /f /a d:\o.exe
del /f /a d:\o6hfog.com
del /f /a d:\o6mhfog.com
del /f /a d:\p3th8wb.cmd
del /f /a d:\q83iwmgf.bat
del /f /a d:\Recycled\desktop.ini
del /f /a d:\Recycled\Df2.exe
del /f /a d:\Recycled\Dh35.dll
del /f /a d:\Recycled\Dh35.exe
del /f /a d:\Recycled\Driveinfo.exe
del /f /a d:\Recycled\voinfo.dll
del /f /a d:\spxgfwg.bat
del /f /a d:\sq.com
del /f /a d:\swfu.exe
del /f /a d:\sxs.exe
del /f /a d:\t2yev.com
del /f /a d:\t2yev.exe
del /f /a d:\uvg.com
del /f /a d:\uwlmj.com
del /f /a d:\vmhr.bat
del /f /a d:\w3dn9f.bat
del /f /a d:\wm93r0.com
del /f /a d:\wm93r0.exe
del /f /a d:\wuauserv.exe
del /f /a d:\wvusvigl.bat
del /f /a d:\x0.com
del /f /a d:\xhlhmbw.exe
del /f /a d:\yfog8p.exe

rem E drive

del /f /a e:\autorun.inf
mkdir e:\autorun.inf
attrib +h e:\autorun.inf

del /f /a e:\1aq1obb.bat
del /f /a e:\68.exe
del /f /a e:\8e9gmih.bat
del /f /a e:\ampfrb.cmd
del /f /a e:\as.bat
del /f /a e:\awqlpyrd.com
del /f /a e:\c.cmd
del /f /a e:\desktop.exe
del /f /a e:\desktop.ini
del /f /a e:\desktop2.exe
del /f /a e:\dp.cmd
del /f /a e:\f.exe
del /f /a e:\folder.exe
del /f /a e:\g.com
del /f /a e:\h8i.com
del /f /a e:\hbs.exe
del /f /a e:\i2p.bat
del /f /a e:\INFO2
del /f /a e:\ipy.cmd
del /f /a e:\jix9a.bat
del /f /a e:\k.com
del /f /a e:\l1lyxiy1.exe
del /f /a e:\lgnaqil.exe
del /f /a e:\mka.bat
del /f /a e:\mxuclt.exe
del /f /a e:\n6j6pc0.com
del /f /a e:\o.exe
del /f /a e:\o6hfog.com
del /f /a e:\o6mhfog.com
del /f /a e:\p3th8wb.cmd
del /f /a e:\q83iwmgf.bat
del /f /a e:\Recycled\desktop.ini
del /f /a e:\Recycled\Df2.exe
del /f /a e:\Recycled\Dh35.dll
del /f /a e:\Recycled\Dh35.exe
del /f /a e:\Recycled\Driveinfo.exe
del /f /a e:\Recycled\voinfo.dll
del /f /a e:\spxgfwg.bat
del /f /a e:\sq.com
del /f /a e:\swfu.exe
del /f /a e:\sxs.exe
del /f /a e:\t2yev.com
del /f /a e:\t2yev.exe
del /f /a e:\uvg.com
del /f /a e:\uwlmj.com
del /f /a e:\vmhr.bat
del /f /a e:\w3dn9f.bat
del /f /a e:\wm93r0.com
del /f /a e:\wm93r0.exe
del /f /a e:\wuauserv.exe
del /f /a e:\wvusvigl.bat
del /f /a e:\x0.com
del /f /a e:\xhlhmbw.exe
del /f /a e:\yfog8p.exe

rem F drive

del /f /a f:\autorun.inf
mkdir f:\autorun.inf
attrib +h f:\autorun.inf

del /f /a f:\1aq1obb.bat
del /f /a f:\68.exe
del /f /a f:\8e9gmih.bat
del /f /a f:\ampfrb.cmd
del /f /a f:\as.bat
del /f /a f:\awqlpyrd.com
del /f /a f:\c.cmd
del /f /a f:\desktop.exe
del /f /a f:\desktop.ini
del /f /a f:\desktop2.exe
del /f /a f:\dp.cmd
del /f /a f:\f.exe
del /f /a f:\folder.exe
del /f /a f:\g.com
del /f /a f:\h8i.com
del /f /a f:\hbs.exe
del /f /a f:\i2p.bat
del /f /a f:\INFO2
del /f /a f:\ipy.cmd
del /f /a f:\jix9a.bat
del /f /a f:\k.com
del /f /a f:\l1lyxiy1.exe
del /f /a f:\lgnaqil.exe
del /f /a f:\mka.bat
del /f /a f:\mxuclt.exe
del /f /a f:\n6j6pc0.com
del /f /a f:\o.exe
del /f /a f:\o6hfog.com
del /f /a f:\o6mhfog.com
del /f /a f:\p3th8wb.cmd
del /f /a f:\q83iwmgf.bat
del /f /a f:\Recycled\desktop.ini
del /f /a f:\Recycled\Df2.exe
del /f /a f:\Recycled\Dh35.dll
del /f /a f:\Recycled\Dh35.exe
del /f /a f:\Recycled\Driveinfo.exe
del /f /a f:\Recycled\voinfo.dll
del /f /a f:\spxgfwg.bat
del /f /a f:\sq.com
del /f /a f:\swfu.exe
del /f /a f:\sxs.exe
del /f /a f:\t2yev.com
del /f /a f:\t2yev.exe
del /f /a f:\uvg.com
del /f /a f:\uwlmj.com
del /f /a f:\vmhr.bat
del /f /a f:\w3dn9f.bat
del /f /a f:\wm93r0.com
del /f /a f:\wm93r0.exe
del /f /a f:\wuauserv.exe
del /f /a f:\wvusvigl.bat
del /f /a f:\x0.com
del /f /a f:\xhlhmbw.exe
del /f /a f:\yfog8p.exe