今、客先のPCのメンテを行っているのだが、ウィルスチェックなどの待ち時間なのでぬるーって感じなのでブログ書いたりしてみる

ココの客先は約10台ほどのLAN(インターネット)と6台ほどのLAN(閉鎖)に二つのグループが存在し、今回はインターネットグループのメンテナンス(夏前の誇り取りとか)でやってきたんだ

で、Cドライブ開こうとしたら・・・

え?プログラムの選択??
デスクトップからマイドキュメントとかを開いてフォルダを上に辿るとCドライブの中も見える?

エクスプローラーでも直接開く

さて、やられちゃったなと思い、隠しフォルダを表示しようとすると、その設定がすぐに元に戻されるよ

仕方なくなく、regeditで書き換えを行い隠しファイルは見えるようにする

ドライブを見てみると・・・vb8jc.exeやら、n.exeやら怪しいものがある上に・・・

Autorun.inf??

CドライブにもDドライブにもEドライブにもあるよ~
しかも、それぞれたくさんのお孫さんや曾孫さんたちに囲まれて幸せそうだw

ココのセキュリティはというと、ルータのファイアで基本以外のポートを閉めて、P2P等は出来ないようにしてあるし、基本的なセキュリティソフトは「ノートンインターネットセキュリティ2009」がしっかり入っているんだよね
 ・
 ・
 ・
つまり、僕らのノートン先生はUSBウィルスさんに関しては完全に無防備だったわけだ
ちなみにタイムスタンプ上での一番古いものは2009/2/11だったので、USBウィルス自体が発見されてからかなり後であるにも関わらずって事だ

ちなみに、ここはWindowsUpdate自体は強制自動で行わせているし、毎日のディスクイメージレベルのバックアップも取らせているが、セキュリティソフトがリスクを警告せず、今回のように通常使用で気づかない場合は、バックアップがどんどん上書きされてバックアップ自体を戻すということも難しくなるね
※最新の注意をしていてもこれじゃ一般の人は気付きはしないよなー

現実問題の対処としては、

・Autorun.infの削除
(文字列検索でAutorun.inf内のexeファイル名が入ったファイルも検索)
・関連と思われるexeファイルの削除
・書き換えられたと思われるレジストリの削除

というのを行って、各種オンラインスキャナを実施して中に変なのがないのを確認
但し、トロイ系だから絶対に安全って訳ではないんだよなー

現状、シマンテックのサイトでvb8jc.exeで検索しても何も見つからないけど、

%System%\ierdfgh.exe
%Temp%\a81lkgv.com
c:\2sdsu3.cmd
c:\3yseow89.exe
c:\a81lkgv.com
c:\vy9i9gl.com
c:\fmg83i.exe
c:\ixw.exe
c:\las99dn3.com
c:\n.exe
c:\nt.com
c:\vb8jc.exe

が関連ウィルスとその子供達らしい

退治できたかどうかのチェックのためにUSBメディアをつないで何もされないかチェックして今日の作業は終わりかな?

昨日に引き続きやたらと時間だけ食う仕事だなw


トラックバックURL
http://kyounoare.blog117.fc2.com/tb.php/596-83221b3b
トラックバック
コメント
管理者にだけ表示を許可する
 
記事検索
カウンター
カテゴリー
最近のコメント
最近のトラックバック
おすすめサイト更新情報
相互リンク