我が家のPCウイルス事件

December 2001   

とうとう、我が家のPCがウイルスにやられてしまいました。可能な限りの対策をしていた・・・と思っていましたが、私の知る範囲の方法では防ぎきれないことを知りました。

私が経験したPCウイルス事件は、ある木曜日、突然やってきたのでした。PCのスイッチを入れて起動するまでの間、ちょっと間の時間があるのでいつものように台所にコーヒーを取りに行きました。そして、PCの前に戻ってきて、いつものようにメールの接続を始めます。Beckyは、するすると立ち上がり、ダイアルアップも完了し、メールサーバーからメールのダウンロードが始まりました。ここまでは、何の変哲もない、いつも通りの状態でしたが、メールをダウンロード中にアンチウイルスソフトがアラートを表示。

これも最近、ウイルス感染メールが届いていたので、別段驚きもなく、いつも通りの駆除作業を・・・・と処理をしていたのですが、何かおかしい。アンチウイルスソフトが、完全な処理ができないとの表示をするのです。「えっ!」と思い、メールのダウンロードが終了した後にウイルスチェッカーをかけてみると、PC中にウイルスが・・・。その数、約600。「やられた!」の思いと対応方法の手順が頭を交錯します。

とりあえず、アンチウイルスソフトで駆除をと発見された600あまりのウイルスファイルを削除。もちろん、ソフトが処理してくれるのでクリック一つですが、手間はそんなにかからずとも、いろいろな思いが頭をよぎります。そうこうするうちに1回目の駆除処理が終了したので、アンチウイルスソフトのアップデート後、再スキャン。またまた、ぞろぞろと出てきます。その数、およそ100。再度の駆除処理。そして、再スキャン。まだ、数ファイルでてきます。再処理。そして、もう一回スキャン。一応、ファイルは発見されません。念のため、もう一回。やはり出てきません。これで、一応の駆除完了のようです。

実は、我が家には複数のPCがLANで繋がっています。このウイルスが発見されたときに、もう一台PCがLAN上で起動していました。当然のことのように、1台目でウイルスが見つかった時点で、このもう一台も感染していました。というのは、こちらのPCでもアラートが表示されていましたから。ネットワークで繋がっていると広がるタイプだったので、駆除作業は、こちらも最初のものと同時に処理しました。こちらは、約100ファイルずつを2回削除、3回目のスキャンは、ウイスルファイルが見つかりませんでした。でも、最初に発見した方が新しいバージョンのアンチウイルスソフトが入っていたので、同じようにアップデートしてはいましたが、ネットワークを使って念のために新しい方でやってみると、また3つの感染ファイルを発見。このことをみたので、ネットからウイルス毎の専用駆除処理ソフトをダウンロードして再スキャン。どうやら、2台のPCは、両方とも感染ファイルがなくなったようです。

ここまでの作業で約6時間、スキャン1回に3,40分かかるのでこんなに時間がかかってしまいました。時計を見ると夜中の3時。明日、会社があるのでここで寝ることに・・・。翌日、PCを使っていると時折ウイルスのアラートがでます。でもファイルを調べたり、スキャンしてもウイルスはでてきません。ウイルスの定義ファイルは、この日メーカーより配布の新しいものにアップデートされたので、私のものもアップデート。でも、スキャンしても何もかかってきません。・・・にもかかわらず、PCを使っているとやっぱりアラートが。

気持ちが悪いので、アラートでウイルスがあるよと表示されるインターネットテンポラリーのフォルダーを削除しました。というのは、中にあるファイルがなぜか削除できなかったからです。また、ファイルのタイムスタンプはいずれも感染日の日付でした。フォルダー毎消して、別のフォルダーを作り直しリネームすれば、物理的に異なるディスク位置にフォルダーが作成されるので、なにはともあれフレッシュになるだろうと考えたのです。この作業を終えた後、(と言っても数秒の作業ですが)スキャンさせようとアンチウイルスソフトを見ると無くなっています。「えっ!」と思う気持ちと「やっぱり」と思う悔しさ。ここでハードディスク全体を別の保存用ハードディスクに待避させ、アンチウイルスソフトの再インストール。もちろん、残骸があるとインストールに失敗したりするので、可能な限り削除作業をしてからの再インストールです。インストール作業後、リスタート。ソフトがその仕様通りにアップデートを要求するので、ネット経由でのアップデート。これも正常に終了。そして、おきまりのリスタート。

「がつん!」とここで殴られました。OSがブートしないのです。別のハードディスクで起動させ、ハードディスクをみるとどうやらシステムファイルの一部を消されてしまったようでした。幸いなことに、こういう風に別のディスクで起動させれば、まだ、ハードディスクにアクセスできる状況だったので、バックアップの内容確認やおかしくなっている状況をある程度みることはできました。不運だったのは、OSとアプリケーションのインストール中に(実は新しいハードディスクを購入したところでした)、この感染事件が起こったので、レジストリーファイルなどのシステムファイルのバックアップがまだなかったこと、幸運だったのは、インストール中だったのでデータファイルは全て古い方のハードディスクにオリジナルファイルがほぼ完全な形であったことでした。(もっとも、デュアルブート環境だったので、オリジナルのハードディスクにも感染していましたが・・・。)

さて、このシステムを消されたハードディスクの再生時にも、興味深いことが見つかりました。
ハードディスクはFAT32でフォーマットされていたのですが、Win2000のOSの修復セットアップが不能でした。理由は、OSインストーラーがハードディスクを認識できないのです。同様にデュアルブートにしてた別のハードディスクもOSインストーラーから認識されませんでした。でも、こちらはWin98が起動可能です。どうやら、ウイルスは動く程度にシステムを乗っ取って、さらなる感染の拡大をはかろうとしているようです。結局、ハードディスクを認識できないので、修復は出来ず、完全にフォーマットからやり直しでした。もっとも、気持ちが悪いので修復で動いても、取り急ぎの用件が終わったら再フォーマットからやり直すつもりではありましたが・・・。

このようにして、駆除作業は終わりましたが、感染力をもたない感染後のハードディスクの状態は、いつ動かなくなるか分からない不安定な状態です。結局、再フォーマットからやり直さないといけないようです。Gという操作をキャンセルして過去へ立ち戻れるソフトを入れていましたが、感染前の状態や機動不能の前の状態には戻せませんでした。アンチウイルスソフトも、定義ファイルが作られる前にウイルスを受け取ると全くの無力でした。直接大量に感染したのはNimdaAでしたが、アンチウイルスソフトで反応しなかったのは、アンチウイルスソフトベンダー説明を見ているとBadtransBの変種と思われます。NimdaAにせよBadtransBにしてもシステムファイルを消すようなウイルスではなく単にファイルをばらまくワームです。この時期、これらの他にAlizやMgistrなどいくつかのワーム、ウイルスもアンチウイルスソフトにかかってきていたので、どれかが、アンチウイルスソフトを無力化し、別のウイルスでとどめを刺されたのかもしれません。

当初、メールをダウンロード時に感染したと思っていましたが、後で調べてみるとその前に1つ別のウイルスを駆除している記録がありました。どうやら、このタイミングが感染のようです。この時間、メールは繋いでいなかったので、ウエッブページから感染したようです。閲覧していたウエッブは日本で大手のポータルサイトです。このサイトは、私が感染して2日目から数日間、接続しにくくなるページがありました。オフィシャルには何も発表されていませんが、多分このポータルが原因であったのでは?と想像しています。一方、私の契約するプロバイダーは、やはり感染から数日後、メールサーバーに接続できなくなることがありました。大体1日半、ほとんどメールが拾えない状況でした。私はメールサーバーにバックアップの意味で数日間過去のメールが残るように設定しています。私のメールボックスには、ウイルス入りのメールが保存されてあったので、サーバーに接続できるようになったときに、消す作業をしようとしました。・・・がなんと、プロバイダーがそれを消していました。他の前後のメールは全て残っているのに。ウイルス感染メールは、用件がないので消されても怒りませんが、お断りなしにメールを消すということは、無断の信書の閲覧に繋がるので私はプライバシーの侵害として重要なことと思いました。日本は、プライバシーにおおらかな国なので、大したことと思われないかもしれませんが、アメリカではこの手の行動がとても大きな問題に発展することがあります。ジャンクメールの自動カットもユーザーが設定しないと絶対に機能しません。DoSに繋がるものであるなら別の法律との兼ね合いでメールのカットはあり得ると思いますが、「サーバーにおかれたメールをスキャンし一部を削除した」と言う行動を「無断」でしたことにちょっと驚きました。

【教訓】当たり前ながら、アンチウイルスソフトやOS、ブラウザのアップデートでは、完全にウイルスを防ぐことはできない。従って、バックアップが最前の方策である。

こんなこともあるのでLinuxに・・・とも思うのですが(Linuxにすればウイルスの種類や感染の危険性は格段に減少するはず)、結局、Windowsとの連携ができないと自分以外の世界との隔絶があるし(仕事上Winから逃れられない)、Lindows(LinuxのWindowsクローン)みたいのものがあったとしても、Windowsソフトを使うのであれば、今度はLinuxでありながらWindowsのウイルスに感染するわけで、Linuxが逃げ場にならないわけです。(OSレベルでの感染や進入に対してある程度の防御力向上があるかもしれませんが、今回問題にしたウイルスはブラウザの欠陥をついて進入してきたのでWindowsクローンでは感染すると思われます。)

最近のソフトはやたらネットワークでレジストレーションしたり、その起動l状況をネットワーク経由でモニターしたりしていますが、これから再インストールが増えるであろうことを感じる今回のことから、ソフトウエアメーカーにこの点を理解して貰いたいものです。だって、ウイルスにやられて腹を立てながら再インストールしたら「複数のPCにはインストールできません!」なんてインストールエラー表示が出たら激怒ですよね。(まだ、見たことはありませんが)

☆ウイルスの情報 シマンテックのウイルスリスト

      

By Skydaddy All Rights Reserved
Last Update on 2002/06/23