2006-10-30 Mon
さてさて、実は、多くのウイルスは、パソコンの大奥、レジストリ・・・という部分を勝手に書き換え、自分の都合のいいように操っている場合が多いです。
有料のウイルス対策ソフトも、今回のこのウイルススキャンも、ウイルスそのものを駆除、もしくは、削除してくれますが、実はこの、
書き換えられたレジストリを元に戻してはくれません。この書き換えられたレジストリのせいで、
「ウイルスを駆除したのに、パソコンの動作が不安定・・・ 」
ということもままあります。
・・・なんて言われても、そもそもレジストリって何のことだか・・・って感じですね。
そこで、たとえ話をしてみましょう。
たとえば、パソコンを家にたとえると、発見されたウイルスは、その家の中で壊れて、電気を大量に消費する冷房機だとしましょう。
この冷房機の電源がコンセントに刺さっているだけで、稼動もさせてないのに、ブレーカーはしょっちゅう落ちるし、異様に高い電気代を請求されます。
だから、壊れた冷房機を電気屋さんに取り外してもらいました。
でも、冷房機を付けるように引いてきた電気の配線もそのままだし、冷房機をはずした壁には、空気や水を送る配管が残ってしまい、壁にはぽっかりと穴があいてしまいました。
この、電気の配線や壁に穴を開けて通したパイプが、パソコンで言うレジストリだと思ってください。
ウイルスは、自分が自在に動くために、勝手に配管工事をし、自分の好きなように、パソコンのレジストリを書き換えてしまいます。
しかし、勝手に改造されたこのレジストリ、ウイルス対策ソフトやウイルススキャンは、レジストリには手を付けてはくれません。
そのウイルス対策ソフトを出している会社も、レジストリは自分で治してね。と、書いてあるのが現状なのです。
とまあ、こういうわけで、ウイルス駆除が終わったら、この書き換えられたレジストリを元に戻すことにします。
この作業は、無料のウイルススキャンを使ったから、面倒なことは自分でしなきゃ・・・なんてことではありません。
有料のウイルス対策ソフトを使っていても、レジストリを改造するタイプのウイルスに感染していると、この作業は必要です。
しかしながら、このレジストリ、
ちょっとでも間違ったことをすると、パソコンが起動しなくなることもありえます。
そこで、ここから先の説明を読んで、「わかんない!! 」と思った人は、マイクロソフトのクリーンアップセンターで、レジストリの掃除を自動でしてもらい、あとは様子を見ることにしましょう。
では、前置きが長くなりましたが始めましょう。
発見されたウイルス名を検索する。
どんな悪行をするするウイルスで、レジストリ改造するかどうか・・・これを調べるためです。
マイクロソフトや、トレンドマイクロのオンラインスキャンでウイルスが発見された場合は、
トレンドマイクロのHPで、ウイルス名を検索して下さい。
ご自分の購入したウイルス対策ソフトでウイルスを発見した場合は、そのウイルス対策ソフトの会社で、ウイルス名を検索します。
ウイルスのタイプ、破壊活動の有無、感染経路の確認。
まずは特徴をじっくりと読みましょう。
今回、ウイルスバスターで発見された
BKDR_NETDEVIL.15を例に話を進めていきます。
特 徴:
これはサーバー=クライアント型のハッキングツールです。サーバープログラムとクライアントプログラムに分かれて動作します。サーバープログラムはトロイの木馬としてマシンのシステムに潜入します。ハッカーはクライアントプログラムを使用してサーバープログラムが潜入したマシンをリモートコントロールできます。他のファイルへの感染活動は行いません。このようなハッキングツールを一般に「バックドア型ハッキングツール」とも呼びます。
このプログラムはリモートアクセストロイの木馬またはRATのバージョン1.5を使用しています。このプログラムはファイルを削除したり、感染マシンのキー入力を盗むために使用されています。
小難しいことが書いてありますね。
初心者にはわからない言葉だらけでしょう。一気に読んで理解しようとすると頭がこんがらがります。
では、わかる単語を抜き取って下さい。
初心者なら、ハッカー、ハッキング、潜入、そして、リモートコントロールってことがわかるくらいだと思います。
しかしながら、それらの単語をつなぎ合わせてみると、大体の予想がつくことが多いです。
「ハッカーが潜入して、このウイルスに感染したパソコンを外部から操る。」為のウイルス・・・ってことだろうって感じには・・・。
そして最後、ファイルを削除したり、感染マシンのキー入力を盗むために・・・とあるので、とりあえずは、被害にあうのは自分だけだと予想できます。
しかしながら、ここで、勝手にウイルスメールを送りつけるタイプのウイルスに感染していたことが判明した人は、当然自分の知り合いに、あなたのパソコンが勝手にウイルス付メールを送りつけていたことが予想されます。
HPを見ただけで感染するウイルスにかかっていた場合は、自分がHPや日記やブログなんかをつけていたなら、当然、自分のサイトを見た人にそのウイルスをばら撒いている可能性があります。
こういった場合、周囲の人に告知とウイルス検査をお願いする必要がありますね。
対応方法
さあ、ここで見逃してはいけない事は、対応方法!!
長い文じゃないので隅から隅まで読んでください。
前項でのオンラインスキャンで駆除まで進んだ人は、ここで、ウイルスによって作られたファイルなどが書いてあります。
・感染確認方法:
ワームを実行してしまった場合には、以下のファイルが作成されます:
C:\%SYSTEM%\Kernel32.DLI
また、レジストリの値が変更されます。
ちなみに、この、C:\%SYSTEM%\Kernel32.DLI は、パソコン内の住所です。
最初のC:\は、Cドライブを意味します。
ちょっと強引なたとえですが、パソコンが学校だとすると、ドライブは北校舎、南校舎とかって感じの、学校内にいくつかある校舎だと考えて下さい。
\が・・・そうですね教室で、さらにその中に\があれば、その教室の中にある小さな部屋・・・と考えましょう。
ドライブの名前は人によって違いますが、マイコンピューターを開くと(C:)とか、(D:)とか書いてあるのがドライブです。
今回はこの(C:)のなかの、%SYSTEM%というフォルダの中に、ウイルスが勝手に
Kernel32.DLI という名前の自分自身のコピーを作ってます・・ということですね。
でもこのKernel32.DLI、先ほどのウイルス処理で勝手に削除されている場合が多く、探しても見つからない場合もあります。
で、その後ですが・・・。
書いてますね、レジストリの値が変更されます!・・・と。
レジストリの操作方法をよみ、レジストリを手動削除します。
ですが、先ほどもいいましたが、レジストリは間違って触ると、パソコンが起動しなくなることもあります。
少しでも難しいと感じた場合、自分では触らず、マイクロソフトのクリーンアップセンターを利用し、様子を見て下さい。
