ClamWin Freeで autorun.inf: Worm.Autorun-1792 FOUND

シェアする

  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存

autorun.inf: Worm.Autorun-1792 FOUND

検知ツール

CLAMWIN Free Anti Virus Ver.0.95.3

(ウィルスDBバージョン:main 51;daily 10238)

感染メッセージ内容

J:\autorun.inf: Worm.Autorun-1792 FOUND

autorun.infファイルに”Worm.Autorun-1792″というAutorunウィルス(ワーム)を発見したという内容です。

感染されたautorun.infの内容

“fcay.exe”という実行ファイル(プログラム)を、USB挿入時に実行するようにautorun.infに追記(感染)されます。

追記内容は下記参照。

[AutoRun]
open=fcay.exe
shell\open\Command=fcay.exe

fcay.exeの内容

この、autorun.infに記載されている”fcay.exe”についてですが、今回このファイル自体はUSBにはコピーされていなかったので感染を広げることはなかったのですが、気持ち悪いので調べたところ、Prevxによると下記挙動をするEXE(実行ファイル)のようです

どうやら日本で発症したもののようで、xvassdf.exe,ierdfgh.exe,revo.exeなどのkaba系統と同類のようです。

動作/病症
FCAY.EXE はPC起動時に特定のプログラムを実行するよう、レジストリに書き込む動作をします。
また、隠しファイルとして表示しないよう設定を変更し、隠しファイルを表示する設定にしても勝手に元に戻すため、いささか対応が面倒な一品です。
初回発見
Prevxによると、FCAY.EXE は2009/12/8に日本で初めて発見されたそうです。
ファイル名のエイリアス(亜種)
FCAY.EXE は下記名前でも使われています:
XVASSDF.EXE, AR.EXE, 58833993.EXE

感染されたautorun.infの駆除方法

ClamWinの[Tools]-[Preferenses]-[Infected Files]で[Move To Quarantine Folder]にチェックを入れて、感染ファイルを”Data\Quarantine\”フォルダに隔離する設定に変更します。

再度スキャンを実行すると感染ファイルを”autorun.inf.infected”とリネームして隔離フォルダに隔離してくれます。当然ですが、その場合はUSB挿入時の自動起動はされなくなります。

隔離後、”autorun.inf.infected”を削除します。

もちろん該当するファイル、”autorun.inf”と、存在するならば”fcay.exe”などを、手動で駆除(リネームや削除を)してもかまいません。

一度駆除したのに、再度スキャンして再発しているようであれば、fcay.exe,xvassdf.exe,ierdfgh.exe,revo.exeに感染している可能性があります

※参考文献:”My computer has been compromised, what do I do?”


スポンサーリンク
レクタングル(大)広告

シェアする

  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存
スポンサーリンク
レクタングル(大)広告