【ウイルス】revo.exeという名のUSB経由感染型ウイルス
2008/10/14
Webデザイン
いやいやいやいや、本当に大変。
きっと世の中のシステム担当さんも同じ思いをしているはず。。。たち悪いよーーーこのウイルス。
revo.exeというウイルスと先週末から戦っています。
会社のWindows15台中12台に感染してました。
かなりステルス性が高くて、ウイルス対策ソフトで検出されません。
オンラインゲームのIDとパスワードを盗み出して中国のサーバーに送るっていう悪さをするらしいです。
感染経路はUSB。デジカメのメモリにまで感染するらしいです。
マイコンピュータからCドライブとかDドライブ、またはリムーバブルディスクをダブルクリックで開くと発動。
ウイルス駆除ソフトでは止めてくれません。
ネットにはかなりたくさんの情報が上がっていますが、少しずつ状況が違うので、自分の環境に合わせて、削除するファイルが微妙に異なります。
亜種もたくさん出ているので、全てに対応するのは、結構大変かも。。
ネットでの情報はありがたかったので、僕の場合も載せておきます。
誰かの参考になれば。。。。。
ちなみに、レジストリをいじる作業です。
間違えたりするとWindows起動しなくなります。
自信の無い人は、詳しい人と一緒に。自己責任でお願いしますねーー。
まず、確かめたいのは感染しているのは、確実なのかどうか。
確かめるのは簡単で、「マイドキュメント」を開いて、「ツール」メニューから「フォルダオプション」を開きます。
んで、「表示」タブを開いて「すべてのファイルとフォルダを表示する」にチェックを入れてOKします。
もう一度同じ画面を開いてチェックを入れたはずの項目からチェックが外れていれば感染しています。
お次に確認したいのが、Cドライブやリムーバブルディスクにautorun.infというファイルがあるかどうか。
これも簡単で、メモ帳を開き、「ファイル」メニューから「開く」をクリックし、ファイルの選択画面で、マイコンピュータ内のCドライブをダブルクリックで開きます。
autorun.infは隠しファイルなため、そこには表示されませんが、ファイル名の欄に「autorun.inf」と入力し、ファイルの種類を「すべてのファイル」に変更して「開く」をクリックしてみましょう。
ファイルが開けば、それがウイルスを自動的に作動させるプログラムです。
中に書いてある「shell\open\command=」の後ろの文字を控えておきましょう。
これもウイルスの1ファイルです。
僕の場合は、shell\open\command=f.exeと書いてあったので、f.exeがウイルスの一部になります。
さて、このファイル(autorun.exe)は後で削除しますので、保存も何もせずにそのまま閉じてください。
それ以降の作業は、下にまとめておきます。↓↓
1.Winキー+Rキーで「ファイル名を指定して実行」ダイアログを出し、名前欄に「msconfig」と入力してOK
2.「システム構成ユーティリティ」ダイアログが開いたら「スタートアップ」タブを開いて、revoやmmvo、kavoといった項目を探し、見つかったらチェックを外しておく。
3.引き続き、「BOOT.INI」タブを開き、ブートオプションから「/SAFEBOOT」にチェックを入れて「OK」。再起動を促されるので再起動。
4.Windowsがセーフモードで起動する。ユーザーの選択が出た場合は、Administratorでログインせずに、いつものユーザーでログインすること。
5.確認のダイアログは「OK」をクリックして閉じる。
6.InternetExplorerを起動し、「ツール」メニュー内の「インターネットオプション」をクリックして「インターネットオプション」を開く。
7.「全般」タブにて「インターネット一時ファイル」の「ファイルの削除」をクリック。ダイアログが開くので「すべてのオフラインコンテンツを削除する」にチェックを入れて「OK」。「インターネットオプション」のダイアログも「OK」をクリックして閉じる。
8.「マイコンピュータ」を右クリックして「プロパティ」をクリック。「システムのプロパティ」が開くので、「システムの復元」タブを開き、「すべてのドライブでシステムの復元を無効にする」にチェックして「OK」確認のダイアログが出るので「はい」をクリック。
9.Winキー+Rで「ファイル名を指定して実行」ダイアログを開き、「regedit」と入力して「OK」。
10.レジストリエディタが開くので、下記3項目までもぐり、すべて値を「1」に訂正する。\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
レジストリエディタを閉じる。
11.Winキー+Rで「ファイル名を指定して実行」ダイアログを開き、「c:」と入力して「OK」。
※Cドライブはマイコンピュータからダブルクリックで開いてはダメ。またウイルスが実行されてしまうので。
12.Cドライブが開くので、Windowsフォルダを開いてから、戻る。すると、隠しファイルが表示されるので、以下のファイルを探して、Shift+Deleteで完全削除。
autorun.info
6hfog.com
q83iwmgf.bat
t2yev.com
uvg.com
8e9gmih.bat
yfog8p.exe
wm93r0.exe
f.exe
p3th8wb.cmd
awqlpyrd.com
13.Windowsフォルダに入り、さらにPrefetchフォルダ(c:\windows\Prefetch\)に入る。上記12のファイル名と出だしが同じファイルはShift+Deleteで完全削除。加えて以下のファイルも削除UU.exeから始まるファイル。
14.ひとつ上の階層に戻り、system32フォルダ(c:\Windows\system32\)に入る。以下のファイルを探し出し、Shift+Deleteで完全削除。
kava.exe
kavo.exe
kavo0.dll
kavo1.dll
kavo2.dll
mmvo.exe
mmvo0.dll
mmvo1.dll
revo.exe
revo0.dll
revo1.dll
というよりは、kava、kavo、mmvo、revoで始まるファイルは全て削除したほうがよさそう。
==2008/11/16追記==============================
ありがとう株式会社の河崎さんが、この手順で行っているファイルを駆除するためのツールを作ってくれました。ダウンロード後、解凍して、プログラムを実行すると、数分で該当するファイルを見つけ出して削除してくれます。とても便利です。こちらから入手ができます。
==追記ここまで==================================
15:Winキー+Rキーで「ファイル名を指定して実行」を開き、d:と入力してOK。Dドライブを開き、手順12で削除したファイルを探して、Shift+Deleteで削除。
※Dドライブが無い場合は、必要なし。
16.Winキー+Rキーで「ファイル名を指定して実行」を開き、「regedit」と入力してOK。レジストリエディタのマイコンピュータをクリックして選択してCtrl+Fで検索画面を出す。kavakavommvorevoのワードで検索し、値と一致したり、revo.exeのようなexeファイルの値を見つけたら、全て削除。※検索が止まったらF3キーを押すと次々に検索が続けられる。
17.検索、削除が終わったら、レジストリエディタを閉じ、Winキー+Rで「ファイル名を指定して実行」を開き、「msconfig」と入力してOK。システム構成ユーティリティから「BOOT.INI」ファイルを開き、SAFEBOOTのチェックを外してOK。再起動を促されるので再起動。
18.再起動後、表示されるダイアログはチェックを入れてOKで閉じる。
19.CドライブやDドライブを開き、直下に「autorun.inf」という名前のフォルダを作成する。この作業によって、再感染予防になる。
20.USBメモリスティックが感染源として疑われるので、手持ちのUSBメモリスティックをShiftキーを押しながらPCに差込み、マイコンピュータを開いてリムーバブルディスクのドライブ名を記憶する。
※この時に、決してリムーバブルディスクをダブルクリックして開いてはいけない。ダブルクリックしてしまた時は、初めからやり直し。
21.Winキー+Rで「ファイル名を指定して実行」を開き、調べたドライブ名を入力(たとえばf:など)して、リムーバブルディスクを開く。
22.手順12で削除したファイルと同じものを探し出し、全てShift+Deleteで削除する。
23.リムーバブルディスク内にも「autorun.inf」という名前のフォルダを作成しておく。