25 Aug 2009

usbメモリを媒介に拡大するワーム (autorun, MAL_OTORUN) への対策

実家に帰省中、家のpcやusbメモリがのきなみワームに感染しており、その駆除と対策に一日費やしました。その際のメモです。

現象

ここでは、今回あつかうウィルスの名前をMAL_OTORUNとしています。MAL_OTORUNはUSBメモリを媒介に拡大するワームです。仕組みとしては、windowsのCDやUSBメモリを自動的にスタートさせる、autorun.infという設定ファイルを利用しています。

autorun.infは、ファイルの自動スタートを制御するための仕組みです。autorun.infの中には、起動させるイベントと実行するコマンドが書かれており、「CDをマウントする」「エクスプローラーでそのデバイスをクリックして開く」などのイベントをトリガーにして、コマンドが実行されます。ソフトのインストールCDを読み込むと、自動的にインストール画面が出てくるのは、この機能を使っています。

MAL_OTORUNはこの仕組みを利用し、自身を複製していきます。まず、感染済みのPCに未感染のUSBメモリを差し込んだ場合、ワームは自分自身の実行ファイルとそれを起動させるためのautorun.infをUSBメモリへコピーします。次に、この感染済みUSBメモリを未感染のPCへ接続した場合、USBメモリを開くと同時にautorunの機能によりワームの実行ファイルが起動され、PC本体へ自身をコピーします。このようにして増殖していく仕組みです。

ところで、実際のところどのような実質的な被害があるのかよくわかりません。例えば何かファイルが破壊されたり、個人情報が流出するなどの作用があればわかりやすいのですが、実際上このワームが増殖以外に何をやっているのか、説明している資料は見当たりませんでした。

駆除の方法

PC側の駆除

システムのリカバリ、あるいはOSの再インストールをお勧めします。かかるコストと効果のバランスを考えると、これがベターだと思います。このワームの動作原理を考えると、autorun.infが呼び出している実行ファイルをPCとUSBメモリ内から探し出し、削除すれば問題は解決するような気がするのですが、PC内ではワームは自分のファイル名や形式を偽装しているようで、特定が難しいです。またウィルス駆除ソフトでスキャンし問題がないとなっても、まだワームが残っているケースもあります。僕の実家の場合では、ウィルスバスターでスキャンしたのですが、駆除することはできませんでした。

よって、まずはウィルスソフトでスキャンし、それでもまだ居残っているようであれば、もうリカバリしてしまうのが手っ取り早いと思います。むしろこのワームの場合、以下の予防のほうに力を入れるべきだと思います。

USBメモリ側の駆除

ベストな方法は、windows以外のOSでUSBメモリをマウントし、中のautorun.infとそれが呼び出している実行ファイルを削除することです。もしwindowsしかない場合は、まだ感染していないPCに、以下で説明しているオートランをオフにする方法を使って差し込み、エクスプローラーから開き(ダブルクリックによってもautorunが起動されてしまうため)、同様のファイルを削除、またはウィルスソフトでスキャンします。

予防方法

  1. システム、ソフトウエアを最新の状態に保つ。マルウェア対策の大原則です。
  2. 隠しファイル、拡張子は表示させる設定にする。もしUSBメモリ内に見に覚えのないautorun.infなどができていた場合、すぐに気づくことができます。
  3. 自分のPCの、USBメモリのオートラン機能をオフにする。XP home editionの場合、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRunの値をffにすることで、オフにできます。(Windowsの自動実行機能(Autorun)を完全に無効化してウイルス感染を防ぐ - @IT)。MAL_OTORUNはUSBメモリのウィザードやダブルクリックでのオープンをトリガーにして起動されるので、自動スタートを切っておくことで、感染を回避する可能性を高められます。
  4. USBメモリを使用する際に、シフトキーを押しながら差し込む。こうすることで、USBメモリの自動スタートを一時的にオフにすることができます。よって、感染済みのUSBメモリから他のPCへの感染を抑止できます。ただし全ての環境で有効な方法ではないので、絶対安全ということではありません。
  5. USBメモリ内に"autorun.inf"というフォルダを作成しておく。このようにautorun.infという同名のフォルダをあらかじめ作っておくことで、ワームはautorun.infを書き込むことができず、PCからUSBメモリへの感染を防ぐことができます。ただしこの方法は、USBメモリからPCへの感染を防ぐものではないため、根本的な解決はしておらず、さらにautorun.infが既にある場合でも感染するタイプのものもあるので、完全な方法ではありません。

実家のケース

実家のケースでは、まずデスクトップPCに感染し、その後ラップトップに感染、ほぼ全てのUSBメモリとデジカメのSDカード類も感染していました。ワームの実行ファイル名はsystem.exe。最新にアップデートしたウィルスバスターでスキャンしても駆除することはできませんでした。

対策として、フラッシュメモリ類は僕のmac上で、autorun.infとsystem.exeの2ファイルを削除。autorun.infという名前のフォルダを作成しました。PCはラップトップはシステムのリカバリによって復旧。デスクトップはOSの再インストールを行いました。

参考

依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)

USBメモリで広まるウイルス~感染してしまったら? 感染しないためには?~ + (2) | 特集 | インターネット・セキュリティ・ナレッジ