Pega Weblog

ワーム・ウィルス「W32.Spybot.Worm」退治記

会社での出来事です。海外出張にいっていた奴のMobilePCがウィルスに感染しました。

感染したウィルス名は「W32.Spybot.Worm」。たちが悪い事に、クライアントPCにインストールされているウィルスバスター（コーポレート版）が起動しない（アンインストトール→インストールしてもダメでした）。リモートでこのPCのウイルススキャンを指示してもウィルススキャンが出来ません。どうやらウィルスがウィルスバスターの起動を阻止しているらしい。ちなみにタスクマネージャーも起動しない。
しかたがないので、ネットワークセグメントを分けて他のPCに影響がないように対策をした上で、インターネット上のFreeのウィルススキャンを実施しました。シマンテック(Symantec Security Checkのウィルス検出）で実施し、その結果がW32.Spybot.Worm。
シマンテックのW32.Spybot.Wormのページを見て手動で駆除したのですが、この手動駆除作業が大変でした（どうしてこのウィルスには駆除ツールがないのだ！！）。以下、この苦労話です。

(1)PCをSafeModeで起動させ、(2)OSがWinXPなので復元ポイントを無効にし、(3)タスクマネージャーを起動させFreeScanでひかかったEXEが起動がしていないか確認、起動していたので削除し、(4)そのEXEファイル自体を削除し、(5)レジストリから感染した値を削除しました。また、スタートアップフォルダから 0 バイトファイルを削除しろとのことなので確認しましたがこれはありませんでした。
以上の作業を終わらせ、SafeModeだとFreeScanで使っているActiveXが使えないので仕方がなくPCをrebootし、通常モードで起動させてインターネット上のFreeScanを実施したところ、また、感染ファイルに引っかかりました。仕方がないので、先ほどの作業を繰り返すと、感染ファイルはないものの、先ほど消した筈のレジストリに感染した値があるではないですか！！再度消して他の確認もし、再度、Scan。また、感染ファイルが出現。（この作業を3回繰り返す。）Oh My God!!の世界です。どこに感染ファイルがあるの？
Windowsで感染ファイル名をファイル検索をかけましたが出ません。万事休すです。

悩んでいたら、「感染ファイルは隠しファイルではないか」と周りから言われ、早速、設定を変えてFreeScanに表示された箇所を見るとあるではないですか！憎たらしいファイルが。このウィルスは、普通に見えるファイルと隠しファイルの２つの感染ファイルを作成していたのです。憎たらしい感染隠しファイルを削除し、レジストリから該当値を削除してから、FreeScanを実施すべく、PCをrebootしたら、今まで表示されなかったウィルスバスターのアイコンがタスクトレーに表示されています。また、タスクマネージャーも起動します。
「しめしめ」です。このPCのウィルスバスターが起動が可能になったのでこれでscanしたら、今度はウィルスは発見されませんでした。

総作業時間５時間。疲れました。
しかし、ウィルス駆除のいい勉強となりましたが２度とこんなことはやりたくありません。

なお、このPCにはウィルスバスター・コーポレート版を入れているのに「なぜ故感染？」と思いました。
出張前にウィルスバスター・コーポレート版のVersionをv.5.8からv.6.5に上げたのですが、どうやらVerUpに失敗した模様。
このPCのOSは英語版で、ウィルスバスター・コーポレート版はv.5.8まで英語OSには未対応。これを無理やり使っていたのが原因でしょう。因みに、v.6.5から日本語OSサーバー上の英語OSクライアントPCも対応となりました。

教訓：アンチウィルスソフトは正しく使おう。

Posted by pega at 2004年10月17日 13:01     
| | | | ⇒English | ⇒大阪弁 | Clip!!