ウィルス revo.exe 注入実験
ウィルス注入してrevoウィルスの動き方とセキュリティーソフトを導入したときの動きを実験してみた。
どんなウィルスかは過去ブログ参照してくれればいいかな。
このウィルス最近流行っているみたいで、最新のセキュリティーソフトがきちんと動いてくれるか
vmwareで動いているWindowsXPで検証。
最強といわれているnod32っていうセキュリティソフトはばっちり防御してくれました。
検知精度はすごく敏感でウィルスをハードディスクにコピーするのも難しいなw
一方Avgの方はクリックしてからの反応となりますね。
ウィルスのコピーはできそう。
精度からみて動作プロセスはnod32のほうが大変なので若干重くなるのは仕方ないでしょう。
Kasperskyなどはnod32より精度いいみたいですね。
動作は重いでしょうけど。精度がいいということはそのぶんCPUとメモリが動いているってことでしょうからね。
ネットカフェとかではnod32が採用されてますね。それだけ評価が高いソフトだということですかな。
よいこは真似しないように。どうなっても責任はもてませんので^^;
どんなウィルスかは過去ブログ参照してくれればいいかな。
このウィルス最近流行っているみたいで、最新のセキュリティーソフトがきちんと動いてくれるか
vmwareで動いているWindowsXPで検証。
最強といわれているnod32っていうセキュリティソフトはばっちり防御してくれました。
検知精度はすごく敏感でウィルスをハードディスクにコピーするのも難しいなw
一方Avgの方はクリックしてからの反応となりますね。
ウィルスのコピーはできそう。
精度からみて動作プロセスはnod32のほうが大変なので若干重くなるのは仕方ないでしょう。
Kasperskyなどはnod32より精度いいみたいですね。
動作は重いでしょうけど。精度がいいということはそのぶんCPUとメモリが動いているってことでしょうからね。
ネットカフェとかではnod32が採用されてますね。それだけ評価が高いソフトだということですかな。
よいこは真似しないように。どうなっても責任はもてませんので^^;
ZETA
BeOSっていうオペレーティングシステムの後継であるZETA
ゼータガンダムかいw
ちょっと興味があったので。
VMWARE上にてZETAliveCDを動かしてみた。
imgファイルが二つありますので
liveCD用のVMXファイルでIDE Storageの欄を以下のように手直し。
###############
# IDE Storage
###############
ide0:0.present = "FALSE"
ide0:1.present = "FALSE"
ide1:0.present = "TRUE"
ide1:0.fileName = "zetaboot.img"
ide1:0.deviceType = "cdrom-image"
ide1:0.startConnected = "TRUE"
ide1:0.autodetect = "TRUE"
ide1:1.present = "TRUE"
ide1:1.fileName = "zetacd.img"
ide1:1.deviceType = "cdrom-image"
ide1:1.startConnected = "TRUE"
ide1:1.autodetect = "TRUE"
ディスクマウントしなくっても起動できました^^

動作は結構軽いですね。
キビキビ動きます。
デフォルトでドイツ語になっていますので注意w

ゼータガンダムかいw
ちょっと興味があったので。
VMWARE上にてZETAliveCDを動かしてみた。
imgファイルが二つありますので
liveCD用のVMXファイルでIDE Storageの欄を以下のように手直し。
###############
# IDE Storage
###############
ide0:0.present = "FALSE"
ide0:1.present = "FALSE"
ide1:0.present = "TRUE"
ide1:0.fileName = "zetaboot.img"
ide1:0.deviceType = "cdrom-image"
ide1:0.startConnected = "TRUE"
ide1:0.autodetect = "TRUE"
ide1:1.present = "TRUE"
ide1:1.fileName = "zetacd.img"
ide1:1.deviceType = "cdrom-image"
ide1:1.startConnected = "TRUE"
ide1:1.autodetect = "TRUE"
ディスクマウントしなくっても起動できました^^

動作は結構軽いですね。
キビキビ動きます。
デフォルトでドイツ語になっていますので注意w

ウィルス revo.exe
自分の仕事はコンピュータ関係専門ってわけじゃないですが。
コンピュータ系の仕事もしています。
あるユーザーさんのWindowsPCにてウィルスがはいったとのことでそれを直しにいきました。
そのウィルスは色々と亜種があるわけですが、今回のはrevoっていう実行ファイルがUSBのautorun.infと連携して動くタイプであった。
そこでは少なくとも4台のPCが感染していました。
やっかいなことに感染直後に自分自身がまず不可視属性になりUSBの中身を見てもファイルは見えないです。
でもって感染中はすべてのファイルを表示するにチェックをいれてもそれが反映されません。
attribコマンドつかってSHR属性のファイルがあるかどうかはチェックできましたけどね。
セーフモードにてWindows立ち上げてレジストリエディタで不可視属性解除してファイルを消して次から立ち上がらないようにすれば消せますが、感染中のUSBメモリをすべて修復しないときりがない…
Windowsの場合はUSB挿すときにshiftキー押しながらUSBメモリを挿せばautorun.infが立ち上がらないのでそのあと不可視属性のファイルを消せば直るけどshift押し損ねたら感染しますw
そんな原始的なことやってられないので、linuxにてUSBメモリーのチェックしていきました。
以下の画像で確認しました…
ウィルスまるみえです。
windowsosはautorun廃止せんとやばくねえか…

預かってきたUSBメモリ達です。6つほどウィルス感染してました。

コンピュータ系の仕事もしています。
あるユーザーさんのWindowsPCにてウィルスがはいったとのことでそれを直しにいきました。
そのウィルスは色々と亜種があるわけですが、今回のはrevoっていう実行ファイルがUSBのautorun.infと連携して動くタイプであった。
そこでは少なくとも4台のPCが感染していました。
やっかいなことに感染直後に自分自身がまず不可視属性になりUSBの中身を見てもファイルは見えないです。
でもって感染中はすべてのファイルを表示するにチェックをいれてもそれが反映されません。
attribコマンドつかってSHR属性のファイルがあるかどうかはチェックできましたけどね。
セーフモードにてWindows立ち上げてレジストリエディタで不可視属性解除してファイルを消して次から立ち上がらないようにすれば消せますが、感染中のUSBメモリをすべて修復しないときりがない…
Windowsの場合はUSB挿すときにshiftキー押しながらUSBメモリを挿せばautorun.infが立ち上がらないのでそのあと不可視属性のファイルを消せば直るけどshift押し損ねたら感染しますw
そんな原始的なことやってられないので、linuxにてUSBメモリーのチェックしていきました。
以下の画像で確認しました…
ウィルスまるみえです。
windowsosはautorun廃止せんとやばくねえか…

預かってきたUSBメモリ達です。6つほどウィルス感染してました。
