10.07のSkypeワーム被害について

スカイプの知り合いからこんなメッセージが送られてきたら、絶対にリンクをい踏んではいけない。


このリンクを踏むと、ファイルをダウンロードするか聞かれ、
ダウンロードしたファイルを実行するとワームウィルスに感染する。
分かっていても踏んだ、とかいうバカチンは師ね、とりあえず氏ね。

ちなみにこのウィルスはWIN32/DorkbotBというタイプのもの。
リムーバブルディスクから感染を拡大させ、スカイプのパスワード他個人情報を盗む。
ノートンやマカフィでは検知できない事もあるらしいので注意が必要だ。

視覚的にこのウィルスに感染すると何が起こるかというと
Roamingフォルダに英数字ランダムのexeファイルが作成され、
それがSkype APIへのアクセスコントロールに自動的に組み込まれる。
これによって、感染者から一定時間ごとに感染者のコンタクト登録先全員へ上記のようなメッセージが飛んで二次被害を拡大させていく。

踏まない事が一番大事だが、もし踏んでしまった時の対処法(知恵袋より引用)

Windows
「Windows」キー + R で"ファイル名を指定して実行"

"%appdata%"と入力し、OK。

ファイルは全て英数字でランダムと思われるｅｘｅです。

これらを全て削除し、Skypeの
「ツール」→「設定...」→

「詳細」→「他のプログラムからのSkypeへのアクセス管理」から、
先ほど削除したｅｘｅファイルが残っていた場合、
それらをすべて削除してください。

この中で削除できないものがあるかもしれない。
その時はスタートアップに組み込まれてしまっている可能性があるので
ウィンドウズボタン押下後にファイル名指定検索でmsconfigを出し、システム構成ユーティリティにて
スタートアップから身覚えのない実行ファイルのチェックを外す。




これで全て削除できればいいが、セキュリティソフトで検知できていない場合は再発する事がある。
この場合は既にレジストリを書き換えられているため、システム復元を使って感染前に戻すか
最悪リカバリーと言う事になる。　どちらの場合も気をつけなければならないのは
いくら復元したからと言っても、リムーバブルディスクに刺さっていたUSBメモリ等をちゃんとフルスキャンして
ウィルスを駆除しないとまた同じ結果になるということだ。

隠しファイル(システムファイル含め)を表示できるようにしてみて、
リムーバブルエリアの媒体に以下のフォルダがあれば感染している。

RECYCLER

これをゴミ箱ではなく完全に削除すること。


だが、この手順でウィルスを追い出しても、このウィルスは結構ウザいことに・・・


前あったフォルダが消えてしまっている！
ウィルスソフトの駆除の影響かと、仕方なくパソコンのHDDから同名のフォルダをコピーしようとすると
リムーバブルディスク上のそのフォルダがあることになっている。　どういうことか・・・。

実はこれ、ウィルスがリムーバブルディスク上のフォルダを全て隠しファイルにしているのだ。
おまけにシステムファイルとして属性を書き換えており、その変更が効かなくなってしまっているのだ。
じゃあシステムファイルを表示してみよう。
表示の仕方は下の図を参考にして欲しい。






出てきた出てきた。やっぱりシステムファイルにされてしまっている。
じゃあどうするか、これはマイクロソフトコミニティからの引用だ。

手順中の X は隠しファイルになってしまったフォルダ名が入る

1. [スタート] メニュー → [すべてのプログラム] → [アクセサリ] → [コマンド プロンプト] をクリックする

2. 「cd /d D:\」を入力して Enter キーで D ドライブを指定する。※上記「\」は半角の￥マークです。

3. 「attrib X」と入力し、Enter キーで現在の属性を確認する。
表示例) SH　　D:\X
「S」はシステムファイル属性、「H」は隠しファイル属性です。

4. 「attrib X -s -h」を入力して Enter キーを押す
「+」は属性を設定、「-」は属性を解除します。

5. X フォルダーの属性が解除されたことを確認する



以上を実行してみると・・・



システムファイルの表示を解除しても表示されるようになった。
めでたしめでたし・・・だがコマンドプロントは扱い方を間違えるとPCが起動すらしなくなる諸刃の刃。
使用は自己責任でお願いします。

以上色々書いたが、私はPCについてはサッパリわからん人です。
それでも世の中は便利なインターネットですねってことで、ググればたいていのものは分ります。
大事なことは、分らないと諦めるのではなく調べる事です。

 

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　コメントする？[0]