USBメモリで広まるウイルスに感染→リカバリ

当サイトではアフィリエイト広告を利用しています。

トレンドマイクロのサイトでも１ページまるまる対策を記載している、USBメモリで広まるウイルス「MAL_OTORUN」に感染してしまいました・・・といっても自分ではなく、社員が使っているパソコンです。念のため（笑

この「MAL_OTORUN」というウイルスは、トレンドマイクロの「インターネット脅威マンスリーレポート – 2008年11月度」の不正プログラム感染被害報告数ランキング１位にもなっていて、ここのところ猛威をふるっているウイルスです。

＜参考ページ＞
インターネット脅威マンスリーレポート – 2008年11月度
USBメモリで広まるウイルスへの対策

社内的には「USBメモリを使うな」というアナウンスで収束させましたが、自戒の意味も含めて状況と対策をまとめてみます。

実際に起こった感染ルートと状況

１、営業担当が某クライアントに訪問
２、制作に必要なデータをUSBメモリのコピーして受け取る
３、会社に戻ってきて自分のパソコンにUSBメモリを差し込む
４、ウイルスバスターによりウイルス感染が発覚
５、問い合わせを受けた時点でLANケーブルを外す※

感染が確認できたあとには、ウイルスバスターが駆除に走ってくれます。

※ウイルス感染がわかったら、何よりもまずネットワークから切り離さないと２次感染しますので、LANケーブルを外すことは最優先事項となります。

駆除に動いたはいいけど・・・

このままウイルスバスターがウイルスを駆除してくれば何の問題もないのですが、今回感染したウイルスは自己増殖を繰り替えいしているらしく、駆除してもどんどん増えてきてしまい、処理が追いつかない状況になってしまいました。

多分大元のウイルスを捕まえると何とかなると思うのですが、次から次へと出てくるのでずっとCPU使用率が100％のまま作業をし続けてしまい、駆除どころか他の作業も一切できない状況になっています。

ので、スクリーンショットも取れず。。。

＜参考＞
ウイルスバスターのバージョンはコーポレートエディションを使っています。

隠しファイルを表示できない

ウイルスバスターでの駆除が難しいと判断して、一旦止めて、「MAL_OTORUN」には不正な「autorun.inf」が関わっているのが解っているので、それを手動で特定しようとしました。

ウイルスバスター2009の画面ですが、同じような感じで出ました

そのためには、隠しフォルダもすべて見られるようにする必要があるのですが、何度やっても隠しフォルダを表示することができなくなっていました。←これもウイルスの仕業のようです。

これはセーフティモードで起動しても同じ状況なので、どうにも修復することができなくなってしまいました。

ウイルスバスター2009でトライ

ここまでで半分以上諦めていますが、最後の手段としてウイルスバスターのバージョンをコーポレートエディションから、最新の2009に変更してトライしてみました。

＜お勧めしないけど＞
インストール＆アップデートでネットに接続しないといけないですが、感染しているのが「MAL_OTORUN」なのは確定で、これはネットワーク経由では拡散しない（断定はできないですが）と読んで、接続してしまいました。
で、結果としては、コーポレートエディションほどリソースを使って処理をする訳ではなかったので、平行して作業をすることはできなくはないですが、数時間起動していても完全駆除できる見通しはなく、同じように大元に辿り着けずにいるようです。

ウイルスバスター2009でも駆除できず

何度か検索をかけ、駆除できないか試してみましたが結局ウイルスバスター2009でも駆除できそうにありませんでした。

また、一旦駆除できたような雰囲気になっても、少しするとウイルスがいるという警告がでてしまいますし、前に書いた隠しフォルダの表示はできないままです。

確認する度にウイルス件数が増えていって、スクリーンショットを取った時点では検出数が616件にもなっていました。

最終的にはパソコンをリカバリ

ということなので、ウイルスバスター2009でも完全駆除することはできず、最終的にはパソコンをリカバリすることにしました。

幸いなことに、パソコンはそれなりに動いていた＆ネットワーク経由の感染の可能性が低い（あくまでも希望的観測）のでネットワーク経由でデータをバックアップできましたが、状況がちょっと違うとかなり痛い話になります。

ウイルスバスター2009で駆除できないのか？

ここまでの記述だけを読むと感染したUSBメモリを挿したらアウト！のように見えますが、ちょっと特殊なので、すべてのケースでアウトとなるかは正直わかりません。

今回は事後対処だったのがよくなくて、最初からウイルスバスター2009が入って入れば水際で防げた可能性も大いにありえますが、トレンドマイクロでもファイルを収集しているくらいですから微妙な所です。

立場上再確認、再検証をしないといけないのでしょうが、なんとか駆除（USBメモリもフォーマット）したのに、また面倒なことになるのは嫌なので、ちょっと躊躇してます（笑）

※コーポレートエディションはネットワークでの一元管理が主目的なので、マルウェア系にちょっと弱い印象はあります。

ウイルスバスター以外だとどうだろう？

ウイルス対策ソフトはノートンとか、マカフィーとかありますが、駆除するためのウイルスの情報がまだ揃っていないのは同じだでしょうから、どれも同じような状況になるとは思います。

もちろん、それぞれのバージョンによって挙動は大きく違ってきて、ウイルスバスターコーポレートエディション同様にフリーズするものもあれば、淡々と削除を繰り返してその他の作業に影響を与えないものもあると思います。

なんて、この辺は実際に試したわけではないので、まったくの想像でしかないのでご了承を。

ただし、ウイルス対策ソフトを一切入れていないのは自分だけでなく、周りに迷惑を掛けることになるので、しっかりと対策をしたほうがいいですよ。

USBメモリは便利だけど危険だと認識すること

USBメモリは大容量・低価格になって使いやすい物ではありますが、ウイルスだけではなく情報の漏えいまで含めて考えると、危険も多く含んでいるので、使い方は慎重になったほうがいいですね。

この事件の後に社内で会議があったのですが、その席で専務が「紙にすると数百ページの情報が数グラムのメモリに入ってしまうのは意識を変える必要がある」と言っていましたが、ほんとその通りで、容量が大きいことは便利ですが、無くしたときの損失も大きいということです。

まだまだ対策をしないといけない所があるんですが、感染してからではなくていかに感染しないようにできるかを念頭において対策を考えないとまずいですね。