FC2ブログ

ウィルス revo.exe

自分の仕事はコンピュータ関係専門ってわけじゃないですが。

コンピュータ系の仕事もしています。

あるユーザーさんのWindowsPCにてウィルスがはいったとのことでそれを直しにいきました。

そのウィルスは色々と亜種があるわけですが、今回のはrevoっていう実行ファイルがUSBのautorun.infと連携して動くタイプであった。

そこでは少なくとも4台のPCが感染していました。

やっかいなことに感染直後に自分自身がまず不可視属性になりUSBの中身を見てもファイルは見えないです。

でもって感染中はすべてのファイルを表示するにチェックをいれてもそれが反映されません。

attribコマンドつかってSHR属性のファイルがあるかどうかはチェックできましたけどね。

セーフモードにてWindows立ち上げてレジストリエディタで不可視属性解除してファイルを消して次から立ち上がらないようにすれば消せますが、感染中のUSBメモリをすべて修復しないときりがない…

Windowsの場合はUSB挿すときにshiftキー押しながらUSBメモリを挿せばautorun.infが立ち上がらないのでそのあと不可視属性のファイルを消せば直るけどshift押し損ねたら感染しますw

そんな原始的なことやってられないので、linuxにてUSBメモリーのチェックしていきました。

以下の画像で確認しました…

ウィルスまるみえです。

windowsosはautorun廃止せんとやばくねえか…

Screenshot_convert_20081106195240.png


預かってきたUSBメモリ達です。6つほどウィルス感染してました。
P1010015_convert_20081106200313.jpg



コメント
コメントの投稿


管理者にだけ表示を許可する

トラックバック
http://ikedasan.blog90.fc2.com/tb.php/15-994875f0
この記事にトラックバックする(FC2ブログユーザー)