ウィルス退治 Win32/Bagle.DR騒動

友人からメールが届きました。
しばらく行き来していない友人です。メールを見ると添付ファイルがついています。
それも写真データのようです。(FOTO_532.exeという名前)
この友人とは、お互いに写真データの交換をしていたので、「おかしいな、突然何だろう」とは思いながらもダウンロードしました。
メールの件名がGeorgeとなっていたので、用心してダウンロードしたファイルを念のためウィルスチェックをかけてみましたが、異常は無しでしたのでダブルクリックで開けてしまったんですね。
Fireworksが起動して、Windowsの旗マークが表示されましたね。
すると、突然ウィルスチェックプログラムが停止しました。やられた!!と思ったときには遅かった。
用心に用心を重ねてきたのに! 何たることか
ウィルスチェックソフトもすり抜けて来たところをみると最新型か、と青ざめました。
早速、感染したパソコンからLANケーブルを引っこ抜いて他のパソコンからインターネットで検索をかけるとWin32/Bagle.DRとかW32/Bagle.genとかW32.Beagle.CQ@mmとか呼ばれているトロイの木馬タイプの最新型亜種らしいことがわかってきました。
いくつかのウィルス対策会社からは、2005年12月10日から22日にかけて最新ウイルス情報が出ていましたが、私の使っているウィルスチェックソフトは未対策だったようです。
このウィルスは、自分自身をパソコンの中にあるメールアドレスを使って送信しまくる、50箇所以上のダウンロードサイトからファイルのダウンロードを試みる、などをおこなうようですが、データの破壊活動はしない??とのことで、一応安心したんですが…
退治することにして、まず考えたのは対策済みのウィルスチェックソフトを発表しているウィルス対策会社のWebサイトから「体験版」をダウンロードして、そのソフトで退治してやれということです。
これなら簡単ですもんね。
ところがどっこい!、インターネットからダウンロードしたウィルスチェックソフトをUSBメモリー経由で感染したパソコンにつないで、インストールを始めたら、「このソフトは書込み禁止になっているか、ディスクが満杯です」のエラーメッセージが出てインストールが終了しません。
それで、しかたなく感染したパソコンをインターネットにつないで
ウィルス対策会社のWebサイトにアクセスしようとしたら、「サーバーが見つかりませんでした」のエラーメッセージ。
(ほとんどのウィルス対策会社のWebサイトがアクセスできませんでした。ウィルス対策会社以外のサイトは普通にアクセスできた)
つまり、ウィルス自身を削除する行為をウィルスが妨害している訳です。
巧妙に作ってありますね
最近のウィルスソフトが、ここまで進歩していたとは。逆に感心してしまいましたね。
こうなったら、手動で削除するしかないので久しぶりに使いましたね「REGEDIT(レジストリエディタ)」。
パソコンをセーフモードで再起動して、REGEDITを使って
HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Run

HKEY_LOCAL_MACHINE¥Software¥Microsoft¥Windows¥CurrentVersion¥Run
をチェック。いましたね「anti_troj.exe」というやつ
これを削除した後、Windowsのsystem32フォルダを探すと「Winlog.exe」も発見しました。
ただ、こいつはパソコンのメモリー上で起動中(動いている)ですので、このままでは削除できません。
「ファイル名を指定して実行」にmsconfigと入力して、「システム構成ユーティリティ」を呼び出して「スタートアップ」に潜んでいるWinlog.exeのチェックをはずしておいて、Windowsを再起動します。

あらためて、Windowsのsystem32フォルダにあるWinlog.exeを削除し、すべての設定を元に戻しました。
念のため、ウィルスチェックソフトの体験版をインストールして、ハードディスク全体を詳細チェックをかけましたが、ここまでに使った時間が、なんと5時間!
それでなくても忙しい年末なのに、深夜で作業をしたので今日の客先回りではナマ欠伸が出ること、出ること。
とんでもない年末になりました。