Blog 情報的つぶやき 「REVO.EXE感染」確認と駆除
訪問者数
163393
 | 本日 | 136 |
 | 昨日 | 252 |
 | 今週 | 136 |
 | 今月 | 4988 |
 | 総計 | 163393 |
現在のオンライン
現在ゲスト 6 人
がオンラインです
| 「REVO.EXE感染」確認と駆除 |
 |
 |
 |
|
先日、講習会でもお話しさせていただきました。USBメモリーによる、ウィルス感染被害が仲間の中でも広がりつつあります。ここで、内容と対策の方法をお知らせいたします。 ■【重要】「REVO.EXE感染」確認と駆除 (注)作業時間はチェックから駆除迄1時間程ですが、最チェックをかける事を推奨致しますので、2時間が目処です。 経緯:外出中に持参していましたUSBメモリが「REVO.EXE」のウイルス感染しており、使用中のwinPCも感染している事を確認をしました。 (注)感染PCは、ネットワークより離脱し駆除作業を終了しています。 REVO (revo.exe) とは、kavaの亜種 (kava → kavo → mmvo → revo)、ウイルスのことです。元々は、オンラインゲームのパスワードを盗むものでしたが、今では様々な異常をもたらします。主な感染源はUSBからで、USBを差し込んだ際のオートラン(自動再生)により感染します。<オートラン(自動再生)をさせたくない場合は、「Shift」を押したまま、USBを差し込んでください>そして厄介なことに、REVO (revo.exe)は、ウイルスであるにも関わらず、ウィルス対策ソフトでは検出されません。 このウィルスに感染すると ・・・ ・ インターネットに繋ごうにも「ページが開けません」と表示されてしまう ・ インターネットに接続する速度が驚異的に遅い ・ 添付ファイルが開けない ・ HD ドライブが開けない ・ 隠しフォルダが表示されない etc... 以上の異常(症状)が見られます。 ※ kavo ・ mmvo ・revo は、同じ場所に入っていることもある為、その場合はまとめて退治して下さい。 ウイルスチェックと以下のサイト内の駆除対応を、ご覧ください。 ↓ <http://www.cyber-concierge.co.jp/pc_tama/other/revo.html> ●感染チェック方法:感染しているかどうかの調べ方 (1) 「スタート」をクリックしスタートメニューを表示します。 (2) 「マイドキュメント」をクリックし、【マイドキュメント】画面を開きます。 (3) メニューバーの「ツール(T)」をクリックします。 (4) 「フォルダオプション(O)」をクリックし、【フォルダオプション】画面が表示されます。 (5) 「表示」タブをクリックします。 (6) 詳細設定「ファイルとフォルダの表示」の「すべてのファイルとフォルダを表示する」にチェックを入れます。 (デフォルトでは、「隠しファイルおよび隠しフォルダを表示しない」がチェックされています。) チェックを入れたら、「適応」をクリック後「OK」をクリックし、【フォルダオプション】画面が閉じます。 (7) 上記の(1)から(6)までの作業を行い、詳細設定「ファイルとフォルダの表示」の「すべてのファイルとフォルダを表示する」にチェックが入ったままであることを確認してください。チェックがデフォルトに戻っている場合(「隠しファイルおよび隠しフォルダを表示しない」にチェックがある場合)は、感染していると考え、以下の作業を行ってください。 ※ この作業はレジストリエディタを使用するため、自己責任にて慎重に実施してください。 ■【revo.exe の駆除方法】 まず、 ネットワーク接続をすべて遮断してください。(無線LAN機能は停止してください) (1) マイコンピュータを右クリックしてプロパティをクリックします。 (2) システム復元のタブをクリックして「システム復元を無効にする」をチェックしOKをクリックします。 (3) インターネットエクスプローラーを開いて「ツール」から「インターネットオプション」をクリックします。 (4) 「全般」タブの「インターネット一時ファイル」から「ファイルの削除」をクリックし、ポップアップから「すべてのオフラインコンテンツを削除する」にチェックを入れてOKをクリックします。 (5) インターネットエクスプローラーを閉じます。 (6) 下記手順で msconfig を起動します。 (7) ウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「msconfig」を入れてOKします。 (8) mscofig が起動したら、下記手順でセーフモードで再起動します。 (9) 「スタートアップ」タブをクリックして中にkavo,mmvo,tavo,revoなどがあったらチェックをはずします。 (10) 「BOOT.INI」タブをクリックし、/SAFEBOOT(F)にチェック>OK>再起動します。 (11) 再起動したらセーフモードで作業を続けるか確認する画面が出ますので「はい(Y)」をクリックします。 (12) セーフモードの画面になったらウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「regedit」を入れてOKします。 (13) 下記の3個のレジストリの値を全て「1」に変更してください。 HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Advanced の"Hidden"と"ShowSuperHidden" HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Advanced>Folder>Hidden>SHOWALL の"CheckedValue" (14) レジストリエディタを閉じます。 (15) スタート>【スタートメニューが表示されます】>すべてのプログラム(P)>アクセサリ>エクスプローラをクリックします。 (16) アドレスに「c:」を入れます。この時マイコンピュータに触らないでください、レジストリが元に戻ってしまいます。また、ほかにドライブが有る場合はそちらも同様に以下のチェックをしてください。 ■(16)についての補足(15)で起動したエクスプローラの【アドレス(D)】の入力欄へ「C:」を入力し、入力欄の右の【移動ボタン】をクリックします。⇒ この操作により、「C:」のファイル一覧が表示されます。 (17) 一度ディレクトリに入ってから戻ると隠しファイルが表示されます。詳細表示にして下記のファイルがないか探し出し全て削除してください。但し、これらのファイル以外のファイル名が新たに生成される可能性もあります。削除はシフトキーを押しながら「DEL」キーで削除してください。 C:\\autorun.inf C:\o6mhfog.com C:\q83iwmgf.bat C:\t2yev.com C:\uvg.com C:\8e9gmih.bat C:\Windows\Prefetch\O6MHFOG.BAT-"*".pf C:\Windows\Prefetch\Q83IWMGF.BAT-"*".pf C:\Windows\Prefetch\UU.EXE-"*".pf C:\Windows\Prefetch\8E9GMIH.BAT-"*".pf ■ 以下にあります"%System%" はシステムフォルダーです。OSにより異なりますが、通常は下記のようになります。 C:\Windows\System(Windows 98 と ME) C:\WINNT\System32(Windows NT と 2000) C:\Windows\System32(Windows XP と Server 2003) たとえば、ご使用されておりますOSが『Windows XP』または『Server 2003』の場合は、"%System%" の文面を「C:\Windows\System32」に読み替えて下さい。 "%System%\\\kava.exe"場合 C:\Windows\System32\\kava.exe と読み替えます。 この読み替えたファイルを(15)で起動したエクスプローラにより存在を確認し、あった場合には、該当ファイルを選択した状態で【Shift】キーを押しながら、 【DEL(Delete)】キーを押して、ファイルを 削除します。 ※【Shift】キーを押さずに削除すると、『ごみ箱』へ移動するだけとなり、ウィルスファイルの物理的な削除がなされませんので、ご注意ください。 "%System%\\\\kava.exe" "%System%\kavo.exe" "%System%\kavo0.dll" "%System%\kavo1.dll" "%System%\kavo2.dll" "%System%\mmvo.exe" "%System%\mmvo0.dll" "%System%\mmvo1.dll" "%System%\revo.exe" "%System%\revo0.dll" "%System%\revo1.dll" ■ (17)についての補足エクスプローラの【アドレス(D)】の入力欄には、「c:\\autorun.inf」などPC玉手箱へ記載されているものを入力しないで下さい。※入力すると、ウィルスが起動してしまいます。 (17)は、「(16)で移動したファイル内に、(17)に記載しておりますウィルスが在るか否かを調べ、 あった場合は削除する」という工程です。 (18) 削除が終わったら、ウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「regedit」を入れてOKします。 (19) 「編集」の「検索」でkava、kavo、mmvo、revoを検索して単独のキーワードになっている部分を右クリックして削除します。F3キーを利用して検索するとスムーズです。 (20) レジストリエディタを閉じます。 (21) ウィンドウズキーを押しながら「R」キーを押します>ファイル名を指定して実行に「msconfig」を入れてOKします。 (22) mscofig が起動したら、下記手順で通常モードで再起動します。 (23) 「BOOT.INI」タブをクリックし、/SAFEBOOT(F)にチェックをはずす>OK>再起動します。 (24) システム構成ユーティリティのポップアップが出るので、チェックしてOKします。 (25) 起動したらエクスプローラーでフォルダを開きます。 (26) 「ツール」の「フォルダオプション」を選びます。 (27) 「表示」タブを選択します。 (28) 「ファイルとフォルダの表示」の「すべてのファイルとフォルダを表示する」を選択して、OKで閉じます。 (29) 再度、同じことをして「ファイルとフォルダの表示」が「隠しファイル〜」にチェックが変わっていないことを確認します。 以上で、作業終了です。 USBメモリの駆除では、AUTORUNが起動しないようにシフトキーを押しながらUSBに接続してください。cドライブと同様に、メモリの隠しファイルを見て該当のファイルを削除してください。 防御のためにファイルを1つ作ってc:などルートに「autorun.inf」という名前で保存します。このファイルがあることで次に感染しそうになると「ファイルが既に存在します」というメッセージが出ます。もちろん「いいえ」を選択して下さい。 ■ 「autorun.inf」ファイル作成についての補足 <操作方法>InternetExplorer の場合 (1)文中の「autorun.inf」を右クリックし、表示されたサブメニューより【対象をファイルに保存(A)...】を選択します。 (2) 『名前を付けて保存』の画面が表示されますので、【保存する場所(I)】を「C:」に指定します。 (3)『名前を付けて保存』の画面で【保存(S)】ボタンをクリックするとダウンロードは終了して、「autorun.inf」はC:に保存されます。 【今後の対応】:持参USBモモリは、上記の作業による「REVO.EXE感染」の無い事を確認するとともに、出先のPCで使用した後も、再度の感染有無の確認をし、受託感染の予防に努めましょう。また、可能な限りデータをWebサーバーに置いての使用に切り替えましょう。ネット環境が整わない会場の場合には、上記のUSB管理により、もらいウイルス、二次感染の無いように努めましょう。 「そして厄介なことに、REVO (revo.exe)は、ウイルスであるにも関わらず、ウィルス対策ソフトでは検出されません。」との事ですので、皆様方におかれましても、無い外部者がUSBメモリを使用する可能性のある、複数人のデータ使用におきまして、十分な御注意を頂くことをお願い致します。  
     |
| LAST_UPDATED2 |