読者です 読者をやめる 読者になる 読者になる

あひるの勉強部屋

つらつらつら~と不定期にカキコするブログ

Antivirus Security Pro対策-備忘録-

今回は少しまじめに...というよりは結構重要な内容を紹介します。
ちなみにWindowsの話です。

先日母親のPCにAntivirus Proというセキュリティソフトを騙るウィルスが入り込んでいたので、その対策方法を書いていこうかと思います。

Antivirus Proは偽セキュリティソフトです! 絶対にインストールなどはしないでください。

まず、どのような症状になるのかというとポップアップがデスクトップ上に現れて以下のような警告をしてきます。

  • "トロイの木馬"等のウィルスが検出されました。
  • *.*等の危険なファイルが検出されました。(*には任意のファイル名や拡張子が入ります)

等と、あたかもウィルスに感染しているかのように警告してきます。(警告してるあなたがウィル...げふんげふん)

こいつのやっかいなところは、あらゆるプログラムを危険として起動させてくれないところにあります。
コレによって、自身が削除される可能性を下げているのです。 皆さんが困ったときに開くタスクマネージャーも開けません。
webで調べようにも、検索エンジンにブロックをかけてきます。
そして、あろう事かマ○フィーを無効化してきました。(正確にはセキュリティスキャンの際に作成されるファイルを作成できなくしていた。)
既存のセキュリティソフトを無効化するとは、こいつやりおる...としばらく感心してしまいました。笑

まず行ったのは、ショートカットがデスクトップに生成されていたので、そこからショートカットの元ファイルの場所を探しました。
探し方は、ショートカットアイコンの上で右クリックし、プロパティを開きます。
するとショートカットタブにリンク先という項目があるので、そこが元ファイルの場所です。
ファイル名はランダム文字列のようです。感染した人によってファイル名が異なるというわけです。
このランダム文字列は、後に削除する際に必要なので書き留めておきましょう。

ランダム配列 例: 3jahu54ezq 配列に全く意味はありません。(本当に面倒くさい)

とりあえず、ショートカットもろとも元のファイルを削除してみましたが、数分もたたないうちに復活しました...
何という生命力!!
ここで考えたのが、元ファイルを生成するプログラムないしはファイルを削除できていないか、レジストリに原因があるのかという2通りについて考えました。
まず結論から述べると、レジストリでした。
勝手に復元されたファイルには何のリンク元も無かったためです。またランダム文字列に該当するファイルが他に無かったのです。

さて、レジストリの方を見てみましょう...という前にレジストリについて軽く説明をしましょう。
普通に使っていれば全く触れることのない方も多いと思います。
レジストリ?何それおいしいの?? おいしくありません。非常にまずいです。
なにがまずいかって?レジストリの編集ミスるとあなたのPCは死にます。

くれぐれもレジストリをいじるときはよく確認し、自己責任で行ってください。
で、レジストリとは何かというとMicrosoft社のOS(最近で言うWindows)の設定情報のデータベースです。
拡張子の関連づけ、アプリケーションの設定、ユーザー情報などが格納されています。
従って先ほど「編集ミスると死ぬ」と記述したのは、編集を間違えるとOSそのものを壊してしまうからです。
くれぐれも慎重に、確認しすぎるということはありません。

ここからは具体的な作業の手順を見ていきます。
まずは、パソコンを再起動してセーフモードで起動してください。(起動直後にF8キーを連打すれば、起動モードの選択が可能なのでそこでセーフモードを選択)

なぜセーフモードなのか?
そもそもセーフモードとは、診断用の起動モードのことです。
診断を容易にするために必要最低限のドライバや機能以外は無効になっているのです。
そのためインターネットに接続は出来ません。
またAntivirus Proに作業の邪魔をされることも無くなるのです。

まずは元ファイルを削除しましょう。 先ほど確認したランダム配列のファイルを削除します。

元ファイルの場所
C:¥ProgramData¥[ランダム配列]¥[ランダム配列].exe
または
C:¥Users¥[ユーザー名]¥AppData¥Roaming¥[ランダム配列]¥[ランダム配列].exe [ランダム配列].exe
の保存されているフォルダごとゴミ箱へ入れてください。

おそらくランダム配列のファイルが格納されているフォルダは通常見ることが出来ない"隠しファイル"となっています。 もし隠しファイルが非表示ならば、表示にしてください。

-隠しファイルの表示方法-
そのためexplorerを起動したら、ツール->フォルダオプションを開いてタブの"表示"を選択して、詳細設定の"隠しファイル、隠しフォルダー、および隠しドライブを表示する"を選択します。f:id:ahiruZ:20131007201622p:plain

f:id:ahiruZ:20131007201611p:plain

 

さて、ファイルを無事ゴミ箱へ送ったら、いよいよレジストリの編集です。
まずはスタートメニューを開いて検索バーにregedit"と打ち込んでください。
すると以下のスクリーンショットのようにregedit.exeが現れるので、クリック起動してください。

f:id:ahiruZ:20131007201616p:plain

 
以下のようなアプリケーションが起動します。

f:id:ahiruZ:20131007201632p:plain

 
後はコレを使って、Antivirus Proのレジストリを消すだけです。
何度も書きますが、ほぼすべてがOSにとって必要なレジストリなため、不必要に消去しないでください。
左側のリストから以下の場所まで移動してください。

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

もしここにランダム文字列に由来するレジストリ(右側の項目のデータという項目にランダム配列があればソレ)があれば、それを右クリックで削除してください。
間違っても(既定)という名のレジストリを消さないでください。
これでAntivirus Proの駆除は終わりです。 再起動して、通常起動してください。
念のためにセキュリティソフトでスキャンをしてください。
もしショートカットなどが残っていれば削除してください。
レジストリを削除したので、ショートカットやフォルダが復元する心配はありません。

 

~総括~

今回復旧するに当たって、なぜ感染したのか考えていました。
セキュリティソフトが守ってくれると過信していたからです。
調べてみたところ、以下の項目に一つでも該当する人は感染する可能性があるようです。

  • JavaJRE)を最新版に更新していない
  • Adobe Readerを最新版に更新していない
  • Flash Playerを最新版に更新していない
  • Windows Updateを行っていない

更新というのは既存のシステムの脆弱性を解消してくれる場合が多いです。
それを放置すれば、脆弱性を突いた攻撃をされても文句は言えません。更新していない方が悪いのですから...
またセキュリティソフトを入れていない人も危ないので何かしらインストールすることをオススメします。
コンピュータが日々スペックアップするように、ウィルスも日々強力に多様化しています。 それらに対して個人が一つ一つ対処していくのは不可能です。
セキュリティソフトやアプリケーションを常に最新の状態に更新しておく。
コレが何よりも重要なことなのです。

 

 

最後に...

書き終わって文章見て思った...

文章が汚い 無駄に長い 疲れた_(:3」∠)_

自分も素人だけど、初見の人が対処出来るように書いたつもりですが、中々難しいものです。 本当は感染してるときにスクショとっておきたかった。 どうせなら自分の実験用のノートパソコンに感染したら面白かったのに...もっといろいろ調査出来たのに

 

それでは、また次回までさよなら~( ・∀・)ノシ