会社さんからソフトのバックアップが戻せなくて困っていると訪問をご依頼いただきましたが、パソコンを起動すると、さほど珍しくないエラーメッセージ「メモリがreadになることはありませんでした」。
ただ、そのアプリケーション名が「kavo.exe」と「tt.exe」。
これはウイルスです。
リムーバブルメディアへ自分自身をコピーすることによって拡散するワームで、オンラインゲームに関する情報を盗み取るそうです。今回はフラッシュメモリが数個開けなくなったそうで、念の為全部のパソコンを起動して確認したところ、3台中2台が感染していました。
このウイルス、非常にやっかいです。
大手のセキュリティソフトで駆除し切れません。
今回のパソコンに入っていたのは「Norton Internet Security2005」、ウイルス定義は最新に更新されていますが、これで駆除しても、完全に駆除ができないので意味がありません。
今のところ一番信用できる「CANON NOD32 アンチウイルス」の体験版をダウンロードしました。
検出されたウイルス名は「W32.Gmmima.AG」 シマンテックの解説
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-082706-1742-99&tabid=1
トレンドマイクロの解説
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FONLINEG%2ETCZ&VSect=P
NODでは、「Win32:OnLineGames [Trj] 。
http://canon-its.jp/product/nd/virusinfo/vr_win32_psw_onlinegames_nle.html
このウイルスについて詳しいサイト
http://sturnus.net/mt/2008/01/kavo-mmvo-1.html
http://techpr.cocolog-nifty.com/nakamura/2008/02/usbq83iwmgfbata_e848.html
http://ameblo.jp/sisc/entry-10054943322.html
インターネットの一時ファイルやシステムの復元に多く検出されるそうで、一時ファイルはまず全部削除、システムの復元も完全に駆除できるまでは停止させます。
レジストリも変更されてしまうので、なるべく新しい情報を手がかりに対処。
感染するOSはWindows98~XP、今のところVistaでの感染報告は無いらしい。
QAサイトで、外付けのHDDが起動しなくなったとか、このウイルスについての症状は報告されていますが、亜種に変化し続けているようで、一旦駆除できても安心できません。
バックアップを取ってリカバリするにしても、そのバックアップにまぎれないとも限りません。
感染源がわからないので、社員の持ち込みのフラッシュメモリからまた感染させられる可能性もあります。
この日は休日だったので、翌日出社してきたら全部のパソコンに「NOD32アンチウイルス」を入れ、定義を最新にして、とリムーバブルメディアを一斉にウイルススキャンして頂くことになりました。
とりあえずの予防策としては、接続する可能性のあるリムーバブルメディアのルートに「autorun.inf」のダミーフォルダを作っておくのが良いらしいです。
駆除作業後、最初にお困りだったソフトのバックアップはちゃんと戻せるようになりました。
