07/12/21 08:39:00
>>26
感染後は「自動再生」関連のレジストリを改変され、リムーバブルではない、
c: のような固定ディスクも「開く」アクションでワーム活動するように
なります。
起動ドライブが感染した状況だと、起動時にウィルス対策ソフトのサービス
が止められて安全性が脆弱な状態になり、他のワームやマルウェアがどんど
んダウンロード&インストールされます。
以下のような症状があれば、感染しています。
①起動時に、タスクトレイのウィルス対策ソフトのアイコンが×や割れた
(無効)の表示にしばらく変わる。
②各ドライブのルートディレクトリで、「Autorun.inf」という名前の
ファイルを作ろうとすると、「既に同名のファイルがある・・」と
表示される。
③マイコンピュータ:右クリックで「エ・ェ(O)」という化け文字の
「開く(Open)」オプションが追加されている。
※②③は、既に感染しているPCだと、ワーム活動が始まる操作です。
中国サイトでは、非感染PCの対策法として以下が紹介されていました。
①スタート:ファイル名を指定して実行:cmdを入力しDOS窓を開く。
②各ドライブのルートディレクトリ(c:\など)に移動し、
md Autorun.inf を入力し、自動再生と同名のディレクトリを作成。
③cd Autorun.inf で作成したディレクトリに移動。
④md nokill..\ と入力し、特殊な名前のディレクトリを作成。
※¥という文字がWindowsでの特殊コードなので、存在するけど削除
不能な名前のディレクトリが作成されます。
⑤Dos窓を終了し、目障りなら Autorun.infを隠し属性にする。
要はワームが感染しようとAutorun.infを作成する時に、上書きできない
同名ディレクトリを先に作っておいて妨害する方法です。
④で作成した特殊な名前のディレクトリは、通常の方法で削除できないので、
Autorun.infがルートに存在し続けても良い方は、予防対策としてやってお
くことをお勧めすると書かれていました。