2008年10月14日 (火曜日)

【ウイルス】revo.exeという名のUSB経由感染型ウイルス

いやいやいやいや、本当に大変。
きっと世の中のシステム担当さんも同じ思いをしているはず。。。

たち悪いよーーーこのウイルス。
revo.exeというウイルスと先週末から戦っています。
会社のWindows15台中12台に感染してました。

かなりステルス性が高くて、ウイルス対策ソフトで検出されません。
オンラインゲームのIDとパスワードを盗み出して中国のサーバーに送るっていう悪さをするらしいです。

感染経路はUSB。
デジカメのメモリにまで感染するらしいです。

マイコンピュータからCドライブとかDドライブ、またはリムーバブルディスクをダブルクリックで開くと発動。
ウイルス駆除ソフトでは止めてくれません。

ネットにはかなりたくさんの情報が上がっていますが、少しずつ状況が違うので、自分の環境に合わせて、削除するファイルが微妙に異なります。
亜種もたくさん出ているので、全てに対応するのは、結構大変かも。。

ネットでの情報はありがたかったので、僕の場合も載せておきます。
誰かの参考になれば。。。。。

ちなみに、レジストリをいじる作業です。間違えたりするとWindows起動しなくなります。
自信の無い人は、詳しい人と一緒に。自己責任でお願いしますねーー。

まず、確かめたいのは感染しているのは、確実なのかどうか。
確かめるのは簡単で、「マイドキュメント」を開いて、「ツール」メニューから「フォルダオプション」を開きます。
んで、「表示」タブを開いて「すべてのファイルとフォルダを表示する」にチェックを入れてOKします。
もう一度同じ画面を開いてチェックを入れたはずの項目からチェックが外れていれば感染しています。

お次に確認したいのが、Cドライブやリムーバブルディスクにautorun.infというファイルがあるかどうか。
これも簡単で、メモ帳を開き、「ファイル」メニューから「開く」をクリックし、ファイルの選択画面で、マイコンピュータ内のCドライブをダブルクリックで開きます。autorun.infは隠しファイルなため、そこには表示されませんが、ファイル名の欄に「autorun.inf」と入力し、ファイルの種類を「すべてのファイル」に変更して「開く」をクリックしてみましょう。ファイルが開けば、それがウイルスを自動的に作動させるプログラムです。

中に書いてある「shell\open\command=」の後ろの文字を控えておきましょう。
これもウイルスの1ファイルです。
僕の場合は、shell\open\command=f.exeと書いてあったので、f.exeがウイルスの一部になります。

さて、このファイル(autorun.exe)は後で削除しますので、保存も何もせずにそのまま閉じてください。

それ以降の作業は、下にまとめておきます。
↓↓

1.Winキー+Rキーで「ファイル名を指定して実行」ダイアログを出し、名前欄に「msconfig」と入力してOK

2.「システム構成ユーティリティ」ダイアログが開いたら「スタートアップ」タブを開いて、revoやmmvo、kavoといった項目を探し、見つかったらチェックを外しておく。

3.引き続き、「BOOT.INI」タブを開き、ブートオプションから「/SAFEBOOT」にチェックを入れて「OK」。再起動を促されるので再起動。

4.Windowsがセーフモードで起動する。ユーザーの選択が出た場合は、Administratorでログインせずに、いつものユーザーでログインすること。

5.確認のダイアログは「OK」をクリックして閉じる。

6.InternetExplorerを起動し、「ツール」メニュー内の「インターネットオプション」をクリックして「インターネットオプション」を開く。

7.「全般」タブにて「インターネット一時ファイル」の「ファイルの削除」をクリック。ダイアログが開くので「すべてのオフラインコンテンツを削除する」にチェックを入れて「OK」。「インターネットオプション」のダイアログも「OK」をクリックして閉じる。

8.「マイコンピュータ」を右クリックして「プロパティ」をクリック。「システムのプロパティ」が開くので、「システムの復元」タブを開き、「すべてのドライブでシステムの復元を無効にする」にチェックして「OK」確認のダイアログが出るので「はい」をクリック。

9.Winキー+Rで「ファイル名を指定して実行」ダイアログを開き、「regedit」と入力して「OK」。

10.レジストリエディタが開くので、下記3項目までもぐり、すべて値を「1」に訂正する。

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Hidden

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\ShowSuperHidden

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

レジストリエディタを閉じる。

11.Winキー+Rで「ファイル名を指定して実行」ダイアログを開き、「c:」と入力して「OK」。
※Cドライブはマイコンピュータからダブルクリックで開いてはダメ。またウイルスが実行されてしまうので。

12.Cドライブが開くので、Windowsフォルダを開いてから、戻る。すると、隠しファイルが表示されるので、以下のファイルを探して、Shift+Deleteで完全削除。

autorun.inf
o6hfog.com
q83iwmgf.bat
t2yev.com
uvg.com
8e9gmih.bat

yfog8p.exe
wm93r0.exe
f.exe
p3th8wb.cmd
awqlpyrd.com

13.Windowsフォルダに入り、さらにPrefetchフォルダ(c:\windows\Prefetch\)に入る。
上記12のファイル名と出だしが同じファイルはShift+Deleteで完全削除。加えて以下のファイルも削除

UU.exeから始まるファイル。

14.ひとつ上の階層に戻り、system32フォルダ(c:\Windows\system32\)に入る。
以下のファイルを探し出し、Shift+Deleteで完全削除。

kava.exe
kavo.exe
kavo0.dll
kavo1.dll
kavo2.dll
mmvo.exe
mmvo0.dll
mmvo1.dll
revo.exe
revo0.dll
revo1.dll

というよりは、kava、kavo、mmvo、revoで始まるファイルは全て削除したほうがよさそう。

==2008/11/16追記==============================
ありがとう株式会社の河崎さんが、この手順で行っているファイルを駆除するためのツールを作ってくれました。
ダウンロード後、解凍して、プログラムを実行すると、数分で該当するファイルを見つけ出して削除してくれます。とても便利です。
こちらから入手ができます。
==追記ここまで==================================

15:Winキー+Rキーで「ファイル名を指定して実行」を開き、d:と入力してOK。Dドライブを開き、手順12で削除したファイルを探して、Shift+Deleteで削除。
※Dドライブが無い場合は、必要なし。

16.Winキー+Rキーで「ファイル名を指定して実行」を開き、「regedit」と入力してOK。レジストリエディタのマイコンピュータをクリックして選択してCtrl+Fで検索画面を出す。
kava
kavo
mmvo
revo
のワードで検索し、値と一致したり、revo.exeのようなexeファイルの値を見つけたら、全て削除。
※検索が止まったらF3キーを押すと次々に検索が続けられる。

17.検索、削除が終わったら、レジストリエディタを閉じ、Winキー+Rで「ファイル名を指定して実行」を開き、「msconfig」と入力してOK。システム構成ユーティリティから「BOOT.INI」ファイルを開き、SAFEBOOTのチェックを外してOK。再起動を促されるので再起動。

18.再起動後、表示されるダイアログはチェックを入れてOKで閉じる。

19.CドライブやDドライブを開き、直下に「autorun.inf」という名前のフォルダを作成する。この作業によって、再感染予防になる。

20.USBメモリスティックが感染源として疑われるので、手持ちのUSBメモリスティックをShiftキーを押しながらPCに差込み、マイコンピュータを開いてリムーバブルディスクのドライブ名を記憶する。※この時に、決してリムーバブルディスクをダブルクリックして開いてはいけない。ダブルクリックしてしまた時は、初めからやり直し。

21.Winキー+Rで「ファイル名を指定して実行」を開き、調べたドライブ名を入力(たとえばf:など)して、リムーバブルディスクを開く。

22.手順12で削除したファイルと同じものを探し出し、全てShift+Deleteで削除する。

23.リムーバブルディスク内にも「autorun.inf」という名前のフォルダを作成しておく。

トラックバック(0)

トラックバックURL: http://www.t-hoso.net/mt/mt-tb.cgi/1573

コメント(25)

この操作を有料でサポートしてくれる業者は知りませんか?

>isaさん
以前、僕も駆除方法を探し回っている時に、どこかのブログで「OS再インストールを安易にしてしまう人がいるけれど、それでは解決しない、連絡くれれば対処します」みたいなことを言っていた人がいたと思ったので、探してみたんですけど、見つかりませんでした。
すみません。
一度自分でやってみると、だいたい要領はつかめるので、時間はかかりますけれど、2台目からはずいぶんと楽に対処できるようになります。

現在我が職場でも、revoで大騒ぎの真っ最中・・・。
その影響で、わたしのノートも感染してがっくりしていたのですが、こちらの方法で駆除に成功しました。
本当に助かりました。
t-hosoさんの説明が非常にわかりやすく、1時間かからずにできたと思います。
早速、同僚にも教えてあげたいと思います。
(^.^)

>さっぴーさん(でいいんですよね?)

こんばんは。
解決できてよかったです。
本当にたちが悪いですよね、こいつ。

さっぴーさんのブログ拝見しました〜
同じ趣味の方ですねーー。

そんな人のお役に立てたのが何より嬉しいです!

お世話になっております、(株)ありがとう河崎です。

私もそのウイルスにやられたので、
駆除プログラムを作ることにしました。

今それらを一発で削除するプルグラムを作っていますので、できましたら無料で配布いたします。
もしも、同様のトラブルで困っている人がいたらご連絡ください。

もしも、こちらの管理人様が
配布してくださるようでしたら
ソースごとお渡しします。


株式会社ありがとう 河崎呈

河崎さん

はじめまして。

>駆除プログラムを作ることにしました。

おぉ!すばらしい!
駆除プログラムができたら、ずいぶんと楽になりますよね!

せっかくおっしゃっていただいたので、こちらからの配布も考えたのですが、細かいバージョンアップとかを考えた場合、河崎さんのプログラムサイトにリンクさせていただく方が、確実かと思いますので、完成しましたら、ぜひこちらのブログから紹介してリンクさせていただきたいと思います。

コメントありがとうございました。

ソフトウェアできました、私のサイトの配布ページにおいておきましたので、ためしに使ってみてください、簡単な補助プログラムです。

http://wwww.vc/index.php?id=282

おかげさまで、治りました。
16.の部分ですが削除できないものも検出されましたが、ウィンドウ下の場所で確認して1つ前で削除しましたが私のPCは不具合も出ずに削除することの成功しましたので、この記事で迷う方がいれば参考まで(^^)ノ

お初にお目にかかります。
最近どうもPCの調子が悪いので、調べてみたところセキュリティソフトのブロック履歴に「revo.exe」がビッシリ…。
こちらのサイトを参考にして削除に成功しましたw。
ありがとうございましたw

心太さん

はじめまして。
駆除、成功して何よりです。

手持ちのUSBメモリを全部調べた方がいいですよ。
なんでもデジカメにも感染するらしいので、もしもUSB接続しているデジカメもある場合は、チェックですね。

はじめまして〜
感染して涙目状態でサイトを探してここにたどり着きました

いま、駆除作業をしているのですが・・・
8.「マイコンピュータ」を右クリックして「プロパティ」をクリック。「システムのプロパティ」が開くので、「システムの復元」タブを開き、「すべてのドライブでシステムの復元を無効にする」にチェックして「OK」確認のダイアログが出るので「はい」をクリック。

のところの「すべてのドライブでシステムの復元を無効にする」にチェックができません。
グループポリシーにより無効と出ているのですが・・・
それと、なでしこツールは17までいってから起動すればいいのでしょうか?

質問攻めで申し訳ないですが、アドバイスをお願いしますm(__m

>zereaさん

すみません!!
お返事がめちゃくちゃ遅くなってしまいました!!

えぇとですね・・・
システムのプロパティの件に関しては、おそらくXPのレジストリに起因する問題だと思いますが、もともとシステムの復元を無効にしたいわけですから、グループポリシーによって無効になっているのであれば、ひとつ手間が減ったと考えてよさそうです。

なでしこツールは、僕が使ってみた感じですと、追記をした14のあたりで使っていただくのがよろしいかと思います。

すでに遅いかもしれませんが、がんばってください〜

ありがとうございます。
会社のPCが感染してこのウイルスの恐ろしさを肌で感じていたところです。こういった情報を提供していだだけると本当に助かります。かさねがさね感謝しています。

尾脇さん

コメントありがとうございます。
ほんと、このウイルスは面倒なんですよね。

お役に立てたのでしたら、よかったです。

>CドライブやDドライブを開き、直下に「autorun.inf」という名前のフォルダを作成する

の「フォルダ」は「ファイル」の間違えですよね?
ちなみにこれのソース(情報元)ってどこなんでしょう?

strvさん

えーと…いや、フォルダでいいんですよ。
ファイルにしちゃうと、結局、ウイルスがファイル内にまた悪意のあるプログラムを書きこんじゃうんで。

フォルダにしておけば、中身が書き換えられないので、悪意のあるプログラムが書き込まれる可能性が低くなります。

ソースですか?
いろんなところからちょくちょく調べましたからねぇ…
たしかマイクロトレンドさんにも載っていた記憶がありますです。
ここだったかな?
はっきりしなくてすみません。

なるほど。
autorun.infはフォルダ名に使っても重複すると怒られるんですね。
情報どうもです。

ちなみに自分がかかったのはここで紹介されているものより新しい奴でした。

レジストリいじるより各社のウィルス隔離ソフト使うと安全・簡単かもしれないです。
ただ、ウィルスの種類を特定しないといけないですけど。
http://www.kaspersky.co.jp/removaltools
とか
http://www.bitdefender.com/site/Downloads/browseFreeRemovalTool/
とか。こっちのほうがウィルスの特徴とか書いてあるのでよかったです&これ使って自分のかかってたやつは一発で削除できました。

ということでいろいろ情報ありがとうございました。

初めまして。
このウィルスに、取引先の方が持ってこられたUSBメモリから感染してしまいました・・・
インターネットへのアクセス、及び外部メモリの読み込みは出来るのですが、
管理権限のあるIDでも、その他の操作が一切拒否され、本当に途方に暮れておりました。

仕事では書類作成ばかりですので、
恥ずかしながらこのようなプログラム系(?)をいじることに関してちんぷんかんぷんで。。(;_;)

こちらの駆除手順のご説明、とってもわかりやすく、参考になりました!
本当にありがとうございます。

もし宜しければご助言頂きたいのですが、
こちらのウィルス、ネットゲームのIDやパスを盗むとのこと。
ネットゲームは全くやらないものの念のため、個人情報のあるサイトは、
駆除が終わるまで訪れない方が宜しいでしょうか?

書類が立て込んでおり、この作業にかかれますのは2月に入ってからなのですが、
無事作業が成功しましたら、またお礼に伺わせて下さいませ☆

sybilさん
こんばんは。
コメントありがとうございます。

>取引先の方が持ってこられたUSBメモリから...

そうなんですよね。
USBメモリって、今や持っていて当たり前なので、回避するのって難しかったりしますよね。
特に感染している人も自覚症状がなかったりしますし。

>ネットゲームは全くやらないものの念のため、個人情報のあるサイトは、
駆除が終わるまで訪れない方が宜しいでしょうか?

そうですね。
元々のrevoウイルスは大丈夫のような気もするのですが、亜種がいろいろ出ちゃってるので、できれば駆除がすむまでネットで個人情報を入力するような行為は控えた方がよさそうですね。

駆除作業、面倒ですが、がんばってください!

こんにちは!先頃アドバイスを頂いたsybilです。
お忙しい中本当にありがとうございました☆

書類も落ち着きましたので、早速こちらのサイトを参考に頑張っております(^-^)
とりあえずファイルアクセスの拒否は、ウィルスUSBを開いた途端狂ったように警告した
ウィルスソフト(avast)を削除すると回復しました。
ですがmsconfigでスタートアップを見ても正体のわからないそれらしいファイルがなく、
メモ帳でautorun.infのファイルを開こうとしても見つからなかったので、
あれ?もしやウィルスいないのカナ?と思ったのですが、
何度レジストリをセーフモードで変更しても必ず戻ってしまって、
やっぱりどこかにいるみたいです!!
見つけきれないのがもどかしくて、はんけちがじがじしています(笑)

せっかくアドバイスいただいたのに、中々芳しいご報告ができず申し訳ありません。
外部メモリに対して、危機意識は本当に大事ですよね。
今回の事で色々と勉強になりましたし、前向きにもう少しがんばってみますね!

>sybilさん

むぅ、なんでしょうねぇ。
別のウイルスまたは亜種ですかね?

msconfigでそれらしいのがない場合は、とりあえずシステム構成ユーティリティのスタートアップで、覚えのないのは全部はずしちゃうってのも手ですし、それが怖いなぁって場合は、スタートアップの項目名ってだいたいGoogleで検索すると何の項目かが出てきますので、一度全部調べてみるといいかもしれませんね。

こんにちは
初めましてscecと申します。
ウィルスの件とても助かっています。項目17まで完了して再度下記項目でチェックしてみたのですが、何故かまた出来ません。他に何か考えられる事はあるのでしょうか?PC初心者で色々聞いて申し訳ないですがご存知な事ありましたら教えて下さい><
確かめるのは簡単で、「マイドキュメント」を開いて、「ツール」メニューから「フォルダオプション」を開きます。
んで、「表示」タブを開いて「すべてのファイルとフォルダを表示する」にチェックを入れてOKします。
もう一度同じ画面を開いてチェックを入れたはずの項目からチェックが外れていれば感染しています。

>scecさん

はじめまして。
コメントありがとうございます。

う〜ん…
上記の方法で試してダメだったら、考えられるのが手順12〜14で削除しないといけないファイルとして記載されている以外の亜種に感染してしまった可能性がありますね。

そうなると、ちょっと厳しいかも。
僕自身、この記事を書いた後に発生した亜種に関しては詳しくないので…


Cドライブの隠しファイルが表示された時に、ひとつひとつのファイル名をGoogleとかで検索していくしかないですね。
僕の時には、f.exeがそうだったんですよね。
他の解決策を載せているサイトには、掲載されていなくて、「f.exe」で検索してみたら、明らかに怪しいファイルだったので、削除してみたらビンゴだったという…

ただし、気をつけないといけないのが、隠しファイルは、物によってはWindowsの起動に必要な重要ファイルもあるので、しっかり調べてから削除した方がいいです。
大切なファイルはその前にDVD-Rなどにバックアップしておいた方がいいですね。

ウイルス駆除は根気のいる作業ですが、めげずにがんばってください。

私のPCも、隠しフォルダが表示できない&ドライブ(CやD)をダブルクリックで開こうとすると、なぜか「アプリケーションの選択」画面が出て、困っていました・・・。

こちらのサイトの方法+α(トレンドマイクロのウィルス情報で自分のウィルスが載ってたので、その方法も実施しました。レジストリ変更で、ドライブの自動実行をオフにしました)で、無事削除できました!!本当にありがとうございます。助かりました。
隠しフォルダのあのスケスケ感・・・久々に見れましたw

ところで、セーフモード時にシステム復元を無効にするにチェックを入れましたが、このチェックは入れっぱなしでよろしいのでしょうか?
チェックを外すと、またおかしな事になったりするでしょうか?

しょうもない質問かもしれませんが、この書き込みにお気づきでしたら回答をよろしくお願いします。

aokiさん

久しぶりにこのエントリーにコメントつきました。
こんばんは。

「システム復元を無効にする」のチェックをはずすのは、システムの復元用に保存するデータにウイルスが潜むといけないから、なので、ウイルス対策ソフトを導入されている場合は、チェックを戻してもいいかもしれません。
が、対策ソフトを何も導入されていないなら、チェックははずしたままがいいと思います。

普段から、大切なデータはバックアップをする癖をつけておけば、いざ感染してどうにもならなくなったら、PCを初期化するのにも、それほど躊躇しなくなりますし。

このエントリーがお役に立てたようで、よかったです。

コメントする

プレミアム バンダイ
ガンダマー・ドットコム