2024 04,26 11:30 |
|
× [PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。 |
|
2009 01,27 06:29 |
|
会社のサーバーがウイルスにやられました。
幸運なことにこの環境は一台のサーバー、数台のワークステーション、数台のハードディスクと独立したネットワークで組まれていたため、本来の業務系システムには影響を与えなかったのですが、ものの見事に全ての端末、全てのドライブが感染しています。 本来ならシステム担当が駆除に当たるのですが、その日は連絡が取れず、何故か素人である私が担当することに。 どうやらこのウイルス、かなり新しいウイルスのようで、未だ日本語での除去方法など発表されていないようです。わたしのとった手法があっているかどうかわかりませんが、どなたかの参考になればと思い私のとった手順を残しておきます。 まず状況として ・AVGでウイルスチェックを行ったところ、全てのドライブの最上位階層でAutorun.INFがウイルスとして引っかかる。(例c:/autorun.inf, d:/autorun.inf, e:/autorun.inf) ・しかしこのautorun.inf、隠しファイルになっており目視することが出来ない。フォルダオプションから「全てのファイルを表示」に設定しても、ウイルスが「表示しない」に自動的に変更してしまう。またDOSからDIRコマンドでも表示されない。ただしAttribコマンドでAutorun.infの存在を確認することができる。 ・AVGで除去を行っても、スキャン後全てのドライブのautorun.infドライブのが復活し、隔離することが出来ない。除去した後すぐにマニュアルでAutorun.infをノートパッドで作成すると、read onlyに設定しているにもかかわらず、中身を書き換え即座に隠しファイルに変更してしまう。 当初KamsoftやCKVO.exeのウイルスと疑いweb上で情報を収集しましたが同じような状況がサーバーには見られません。そこで"スタート">"ファイル名を指定して実行"から"MSCONFIG"を立ち上げスタートアップ"から怪しいファイルが設定されていないか確認したところwindows/system32にある"olhrwef.exe"が設定されていることを確認。このexeも隠しファイルで先述と同じようにDOS上でattribコマンドでのみ存在を確認でき、同時にnmdfgs0.dll、nmdfgds1.dllも関連ファイルであることが確認出来ました。 各種の除去ソフトを走らせるも完全には除去できていないようです。そこでMSconfigからスタートアップのチェックボックスを外し再起動をかけると、どうやらウイルスの活動が止まった様子。 何故か各ドライブに潜んでいたautorun.infも消えています。 この状態でDOSコマンドからwindows/system32のフォルダーに入り、以下のコマンドを実行。 attrib -s -h -r nmdfgds0.dll attrib -s -h -r nmdfgds1.dll attrib -s -h -r olhrwef.exe del nmdfgds0.dll del nmdfgds1.dll del olhrwef.exe これを実行したところ、何とか除去できた様子です。 但し素人である私が行ったことなので、これで完璧かどうかはわかりません。 このolhrwef.exe、鳥インフルみたいに常に形態を変えるようで、kamsoftやckvoの派生系ではないかと個人的には思います。どうやら音楽やmovieのファイルに潜んでいるようで、主にUSBなど外部記憶装置を介して広まるようです。今回の作業に用いたusbは全てやられてしまいました。 この作業のおかげで久しぶりに徹夜、朝九時に作業が始まり終わったのは翌朝四時、その間食事もほとんどとらずといった、この歳にはきつい作業でした。 皆さん、ウイルスには気をつけましょう。 PR |
|
| HOME | 忍者ブログ [PR]
|