今日は久しぶりに朝からゆっくりとできるので、朝からウィルスと格闘することに。
音楽を聴きながらウィルス退治でもしようと思い、MP3プレイヤーをPCに繋げると、MP3プレイヤーにも感染・・・
どうやらこのウィルスはリムーバブルディスクに感染するようで、感染後の症状は
・元々あったフォルダと同じ名前のSCRファイルが作成される。
・作成されるファイルのアイコンはフォルダアイコンだから、見た目には分かりにくい。
・フォルダオプションが変更されて、拡張子と隠しファイルが表示されなくなる。
・SCRファイルを削除すると新たに別の名前でSCRファイルやEXEファイルが作成される。
・リムーバブルディスクのサイズをチェックしたところ、元ファイルは消えていないようだがフォルダは見えない。
とこんな感じになってる。

ファイルを消しても作成されるということは何かのアプリケーションが動いているはずなので、タスクマネージャーで見てみるも、実行されているアプリケーション名だけではイマイチよくわからない。
他に情報は無いかなと思い、コントロールパネルからコンピュータの管理を開くと、その中に実行中のタスクという項目を発見。
そこで、実行されているアプリケーションのファイル日付をみてみると、４つのアプリケーションが１月２６日になっている。
名前は『winlogon.exe』と『smss.exe』とあとよくわからんのが２つ。４つのアプリケーションのファイルサイズは全く同じ。
『winlogon.exe』と『smss.exe』はシステムプロセスと同じ名前のためタスクマネージャーでは停止できない。しかも、他の２つを停止しても、監視しているのかすぐにまた起動される。
起動時から動いているということは、スタートアップに登録されているはず！ということで、コンピュータの管理画面でみてみると、一番下に『sa-200632.exe』という怪しいファイルを発見。

しかし、エクスプローラーで『C:\winnt』を開いてみても該当のファイルは無い。
そして、１月２６日の日付でできている一つのテキストファイルがある。開いてみると中には

:: The NewMoonLight ::

Created by HeLLsPAwn A.K.A B4bb1cool

(c) 2006 Depok ~ Indonesia

と書かれてある。

ふ。挑戦状ですか。

なかなかキザなことをしてくれるインドネシア人に闘志を燃やしながらウィルスとの格闘は続く。

エクスプローラーでダメならばと、コマンドプロンプトを開いてdirコマンドのオプションを見てみると『/A 指定された属性のファイルを表示します。』とある。
『dir /as』でシステム属性のファイルを表示してみると、『sa-200632.exe』が表示される。attribコマンドでシステム属性を削除してエクスプローラーで見てみるとフォルダアイコンになっていてサイズも他のものと同様だったので、『sa-200632.exe』を削除後に再起動。
その後に偽の『winlogon.exe』や『smss.exe』等４つのファイルも同様の手順でシステム属性をはずして削除していって、ハードディスク内にもいっぱいできていたウィルスファイルを全て削除して退治完了。
リムーバブルディスク内の元ディスクもシステム属性が設定されていて見えなくなっていたので、それらも通常の属性に戻してウィルスファイルを削除して完了。
時刻はすでに１５時前。お腹空いたしなんか食べに行こ。

なかなか勉強になりました。
Good bye :: The NewMoonLight ::