FX7の眼

ども．

ノロじゃないです．
PCにかかるほう．


発端は6日，学校の研究室PCの一台に異常発生．
学校はノートン先生がデフォなんだけど，どうも先生が立ち上がってくれない．
これはおかしい，，，と思って，レジストリやらプロセスやらをむさぼってたら，どうにもおかしなモノが動いている模様．
ひとまずネットワークから切り離してセーフモードで起動，でウイルススキャン．

その間，感染していないと思われるPCで，感染PCに繋いであった外付けHDDを接続．
ノートン先生でスキャンだー，，，と思ったら．

そのPCの先生も起動しなくなった，，，

今日はさらに感染拡大．
棟内のうち，ウチの研究室を含めた複数の研究室PCで同様の症状が発症．



結果的に，感染したのはコイツでした．
某研究室の馬鹿が，アブナイURL踏んだのが原因らしい．
年末に大流行したみたいだね，コイツ．


症状を要約すると，，，

1.感染するとセキュリティー系プロセスをブロック，レジストリ改変，サービス停止．
　　↓

2.ストレージメディアが接続されると，そこにウイルスインストールプログラムと，それを実行するためのautorunを作成．
同時に，特定のPASSを持つネットワーク上PCにアクセスを試みる．
　　↓

3.感染メディアの接続や共有PCへのアクセスをきっかけに，autorunでウイルスがインストールされる．
　　↓

4.<1.>に戻る．



確認方法としては，プロセスに

spoclsv.EXE
lccxga.EXE

あたりがあったらビンゴ．

あと，見慣れない変なパンダっぽいアイコンを見かけたら，感染を疑って下さい．

その他参考
McAfeeウイルス情報： W32/Fujacks.worm
http://www.mcafee.com/japan/security/virF.asp?v=W32/Fujacks.worm

※↑1/25 リンクの変更＆追加しました．


どうもウイルス自体は中華系らしく，なかなか手強い．
やっかいなのは，メディアが感染しているか確認しようにも挿すと感染するので，Windowsでは確認しようがないところ．
今回はKNOPPIX使って感染メディアをフォーマット．
あ，システム内のは現時点でノートン先生では駆除出来ないっぽくて，上記プロセスを切った上で，トレンドマイクロのを使って駆除しました．



いや，，，中華系以前の問題で，棟内のLAN構成が大問題．
棟内が全部ハブ接続なので，全てのオンラインPCがネットワークで繋がっちゃってる．
これじゃ蔓延もする罠．


この状態が続く限り，きっとまた来るんだろうな，，，orz