魔の7月10日前後の隔離ファイル!ビスタとXP

魔の7月10日前後におけるNOD32の隔離ファイルは、今見てもすさまじいものがあります。

私は常時2台のパソコンを使っています。ビスタとXPです。
当時、ビスタは基本的に職場からUSBフラッシュメモリを持ち帰って作業したり、メールしたり、ネットするのに使用していました。XPは職場メインで使っていました。

いまNOD32のツール⇒隔離、をみると、ビスタは6月29日から7月9日までの間にUSBフラッシュメモリ経由で9つの感染です。Cドライブからはその後検出されていません。その記録を書いてみます。

K:\0yml2bch.bat(2009/07/09 22:48:36)
K:\Autorun.inf(2009/07/09 22:48:00)
K:\2w2.com(2009/07/07/21:58:56)
K:\Autorun.inf(2009/07/07/21:58:24)
L:ju.com(2009/07/01/22:48:08)
L:\0yml2bch.bat(2009/07/01/22:47:54)
L:\yf6qkh.exe(2009/07/01/22:47:54)
K:\c.bat(2009/06/29 21:35:07)
K:\pumpk0lf.com(2009/06/29 21:34:07)

この中の「ju.com」はPrevxに「xvassdf.exe」であるとの記述があります。確かにXPを復活させたあと、ビスタのスタートアップ画面を確認すると(スタート→ファイル名を指定して実行→ MSCONFIG と入力しOKを押す→スタートアップタブ)、スタートアップの中にxvassdf.exeが入り込んでいました。
しかし、後に記述するXPのように、Cドライブに入り込りこむには至らずにすみました。
それがなぜなのか、不思議だ不思議だと思っていました。
するとあるサイトに、「ビスタは依然不人気だから、ウィルスもXPをターゲットにしたものが多く、XPで大活躍?のウィルスもビスタではあまり作動しない」、ということが書かれていました。

とはいえ、xvassdf.exeファイルによって、ビスタマシンがひどい目にあっている事例も数多く報告されているようなので、一概にはそういいきれない部分もあるでしょうが、そういう面もある、ということは確かなのかもしれません。
Windows7が出ましたが、ビスタユーザーは、XPユーザーのおよそ6倍近く乗り換えに積極的だそうです。
ビスタは最後まで評判悪かったですね・・・。
まあ結局は「使いよう」で、私自身はビスタにそう不自由は感じていないし、慣れてしまえばXPでもどっちでもいいです。ただ、やっぱり仕事はXPのほうが・・・とは相変わらず思いますが。

さて、本題に戻して、今度は魔の7月10日のXPにおけるNOD32のツール⇒隔離、の状況です。
7月10日以前はnorton360を入れていたので、それまでの記述がありませんが、おそらくUSBフラッシュメモリ経由で先に書いたビスタへの侵入ファイルと同じようなものが入ったと考えられます。
そしてその結果
7月10日の0時から3時(7月9日深夜、ですね)にはすでにCドライブに展開?している以下のファイルが検出⇒隔離されています。

e8main0.dll(C¥WINDOWS¥system32)(2009/07/10 0:03:10)
0yml2bch.bat(C:)(2009/07/10 0:06:18)
2w2.com(C:)(2009/07/10 0:06:18)
um.exe(C:)(2009/07/10 0:06:24)
4TDDFWQ0.DLL(C:¥WINDOWS¥SYSTEM32)(2009/07/10 1:03:11)
4tddfwq1.dll(C:¥WINDOWS¥system32)(2009/07/10 1:04:41)
4tddfwq1.dll(C:¥Document and Settings¥ユーザー¥Local Settings¥Temp)(
2009/07/10 2:25:31)
4tddfwq0.dll(C:¥Document and Settings¥ユーザー¥Local Settings¥Temp)(
2009/07/10 2:25:31)

この中の「e8main0.dll」は「E8MAIN0.DLL」という大文字表記でPrevxに記述があります。
um.exeはこれまたPrevxに「xvassdf.exe」の別名だそうです。
4tddfwq0.dllも、4tddfwq1.dllも、2w2.comもPrevxに情報記述があります。
(※Prevxでの情報を早く検索したいときには「日本語のページ」からの検索ではなく、ウェブ全体からの検索にするとさっとヒットします。)

これらはみな、一様に最初はUSBフラッシュメモリからの侵入だと思われますが、norton360をすり抜け、NOD32の体験版を入れたこの時点では、ご覧のようにCドライブに入り込み展開してしまっています。
そして、7月10日金曜日にUSBフラッシュメモリ経由でまた次の隔離ファイルが侵入しています。

c.bat(E:¥c.bat)
Autorun.inf(E:¥Autorun.inf)
c.bat(F:¥c.bat)

これらが侵入してきたのが17時過ぎ、そしてこの5時間後から、猛攻撃が始まりました。
2009年7月10日の23時28分21秒から23時30分27秒までの、わずか2分程度で57回に及ぶ検出⇒隔離の嵐。
「C:¥SYSTEM VOLUME INFORMATION_RESTORE(46D1D6EA-FFDA-4045-8380-7F5C6440C724)¥RP255」
ここに、A002・・・で始まる、いろんなdllファイルやexeファイル、comファイル、infファイル、batファイルが表れては検出され、隔離され、もうものすごい状況でした。

後で聞くと、この日はうちの職場でパソコン持ち込みで仕事している(ほぼ全員です)人は、マックのマシンユーザーですら、同じような状況だったようです。「へえ、そうだったんですか?」と言う人はパソコン買って以来一度もOS更新はおろか、セキュリティ更新もしたことのない人たちで、恐ろしい限りでした。

それで再び今日のタイトル「ビスタとXP」に戻りますが、この差というのは、やはり、たとえばc.batなどが人気OSのXPをメインターゲットにしていたから、ということがあったのでしょうか。
しかしマックユーザーも同じくひどい目にあっているので、(私はマックのことはさっぱりわかりません)これも全て推測の域を出ないです。

前の記事にも書きましたが、今回一番痛かったのは強固といわれるnorton360を入れていたために油断した、ということです。
セキュリティソフトには得意不得意がある、ということを痛感したし、自分の目で確かめて手動が原則、ということも骨身にしみました。(その割にはその後ふたたびNOD32の体験版で失敗してますが)

まあ、ビスタユーザーとしては、ビスタが不人気だということが、逆にビスタが守られる環境がつくられるなら、どんどん現ビスタユーザーはセブンに乗り換えていただいて、いよいよビスタユーザー少数派になる、ということが望ましいかな?マックは私見ですが、「固定ファン」がいるので、ウィンのXPかビスタかセブンか、というのとはちょっと違うように思います。常に「マック導入を含めて他も検討してよい」というウィンユーザーのスタンスがないように思います。違うでしょうか?

それだけにユーザーが少ないからといって、あまり安心しきっていると危険だと思います。実際、私の周りのマックユーザーは「ウィルス蔓延は関係なし」のスタンスの人が多いですね。まあ、職場蔓延の場合、ウィンドウズベースのウィルスなので、その気もちもわかるのですが。

結局なんのマシンを使おうが、その人それぞれの使い方と、「セキュリティは手動」の意識があるかどうか、かもしれません。
とはいえ、「手動」もいきすぎてはダメなようです。
・・・この頃の失敗談・・・
なんでも手動、をやりすぎて、プログラムソフトをCドライブのプログラムファイルから直に削除してしまったこと1,2度・・・。これはやってはいけないそうですね。いろんな方が指摘されています。うう。知りませんでした。反省・・・。

今日はやたらと長い記事になってしまいました。
なにか参考になれば幸いです。

コメント

タイトルとURLをコピーしました