33年の時間を巻き戻し天文少年ならぬ天文壮年へ再入門。隊員1名、200mm、65mmの望遠鏡と双眼鏡で星空を楽しんでいます!
どこから来たのか USBメモリーにマルウェア
2013-04-25 Thu 00:00
コンピュータウィルスに詳しい方に教えていただきたいことがあります。

職場で共用で使っている画像処理装置があり、そのコンソールはWindowsXPで制御している。インターネットその他のネットワークには繋がっていない。先日システムが壊れたためメーカーに調べてもらったところウィルスに感染していることが分かった。そのウィルスはUSBメモリー経由で感染した可能性が疑われている。この装置は10人以上で使っているが最近USBメモリーを使用しているのは私ともう一人の2名だけ。USBメモリーは画像データを取り出すためだけで、ユーザーがUSBメモリーから本体へデータを書き込む操作は無い。スタンドアロンで使っている装置のため、私たちどちらかのUSBメモリーから感染した疑いがあるということだ(古いアクセス履歴は消えているので可能性の範囲だが)。二人とも基本的にはMacしか使っていないので普段ウィルスにはさほど気を使っていなかった事は確かだ。

1304223.jpgさっそく対Win用および対Mac用ウィルスの両方を検出できるというSophos Anti-VirusをインストールしてUSBメモリーをチェックしたところお見事、Mal/EncPk-CZというマルウェアが潜んでいた。それも二人のUSBメモリーに同じものが。また、メーカーがコンソールのWindowsXPをウィルスバスターでチェックした画面を見せて貰ったが、そこにはMal_MLWR-24と表示されていた。使ったソフトが違うので異なった名称になっているのだろうか。

私たちのUSBメモリーに潜んでいたマルウェアはWinだけに感染するのでMacOSX上では悪さはしないが、どこから入って来たのかその感染ルートが分からないのでは気持ち悪いので、他のストレージも調べてみた。職場のiMac、TimeMachine用の外部HD、MacBookAir、MacBookPro、自宅と職場のデータをやり取りしているコンパクトHD、自宅のiMac、TimeMachine用の外部HD、デジカメで使っているSDメモリー、その他のUSBメモリー、、、。少なくともこれらの中からは検出されていない。メールはASAHI-NET経由(メールボックスのウィルスチェックオプション付き)でのみ受信している。

そうなると怪しいのはステナビを使うために入手した中古Win機3台か。ステナビくらいにしか使わないからという理由でウィルスチェックはしていない。ただ、これらWin機とMacとのデータのやり取りに使っているUSBメモリーは感染していなかった。

以上のようなパソコン使用環境で、Macに痕跡を残さずにUSBメモリーにのみ感染する事は可能なのだろうか?また、書き出しのみの使い方でも、USBメモリーからWinへ感染してしまうのか?

この記事をお読みになった方の中にコンピュータウィルスに詳しい方がいらっしゃいましたら、コメントをいただけるとありがたいです。
また、当方からの直メールを受信された方でウィルス対策をされていない場合には、こちらのMac本体では確認されていないので添付していることは無いとは思いますが、念のため確認をされると安心だと思います。
別窓 | 雑感 | コメント:6
<<生活保護制度とは再起不能な状態にまで叩き潰すシステム? | 霞ヶ浦天体観測隊 | 冗談は堅牢なwindowsを作ってからにしろ>>
この記事のコメント
私は、コンピュータウィルスには詳しくはないですが、ぱっと考えられるのは、

1) Macでwebからダウンロードされて、USBメモリに直接コピーされた。

2)もともと中古Win機に入っていて、USBメモリにコピーが送られた

1)Macのことは全然わかりませんが、WinではJavaとかAdobe-flash何とかがネットからの感染入口としてよくあるので、これらはMacでもファイルコピーくらいはできるのではないでしょうか。

2) 中古Win機に無料でインストールできるピンポイント型の検出ソフトか駆除ソフトがないかちょっと探しましたが見つかりません。とりあえず下記にあるファイルやレジストリ項目を探すくらいでしょうか。

http://www.mcafee.com/japan/security/virA2008.asp?v=W32/Autorun.worm.gen!72F117E8

上は、Mal/EncPk-CZです。Mal_MLWR-24は別物で、下によると、Mal/EncPk-APらしいです。

http://about-threats.trendmicro.com/ArchiveMalware.aspx?language=jp&name=Mal_MLWR-24
2013-04-25 Thu 07:21 | URL | S.U #MQFp2i1U[ 内容変更]
>webからダウンロードされて、USBメモリに直接コピー

このUSBメモリーは共用装置から自分のiMacへデータを持って来るためだけに使っているので、これをiMacへ挿したまま他の作業をすることはほとんどありません(まったく無かったとは言えないですが)ので、iMacの中になんらかの痕跡が残っても良い様に感じるのです。

>もともと中古Win機に入っていて、USBメモリにコピーが送られた

中古Winから持って来たUSBメモリと共用装置から持って来たUSBメモリがiMac上に同時に存在したことは皆無です。勿論USBメモリを共用したこともありません。このケースだと必ずiMac上に痕跡が残るはずです。

>JavaとかAdobe-flash

私はかなり忠実にアップデートをしているつもりですが、Macでもパッチが間に合わない時にセキュリティーホールを突かれてしまうことはありえるでしょうね。

>中古Win機に無料でインストールできるピンポイント型の検出ソフトか駆除ソフト

3台のWin機も無料ウィルス対策ソフトで確認しておきたいです。

>Mal/EncPk-CZです。Mal_MLWR-24は別物

ということは、私たちのUSBメモリにはいっていたものと、共用装置にはいっていたものは違うと言うことですね。どう考えれば良いのかな?
2013-04-25 Thu 17:46 | URL | かすてん #MLEHLkZk[ 内容変更]
確率的には、2)のほうがありそうでしょうね。

かつては、Windows業界では、ウィルス毎に無料の診断方法や駆除プログラムが与えられていたように思いますが、昨今は、少し変わって「オンライン診断」になったようです。こういうインストールするタイプの物は、あとあと「タダほど高い物はない」ということになるかもしれませんので要注意です。

シマンテックには、一応下のような情報ページがありましたが、これまたどんな使い勝手のものやらわかりません。
情報としては、ここが懇切ではあるようです。

http://www.symantec.com/ja/jp/security_response/removaltools.jsp
2013-04-25 Thu 19:27 | URL | S.U #MQFp2i1U[ 内容変更]
>かつては、Windows業界では、ウィルス毎に無料の診断方法や駆除プログラムが与えられていたように思いますが、〜

対Winマルウェアは最近では秒単位でばら蒔かれ、1日に数万種にも及ぶとも聞きます。ウィルス毎などという方法ではとても追っ付かなくなっているわけですね。

>「オンライン診断」

これは自分のPCの中身をどこかのクラウドへ上げて調べてもらうということになるのでしょうか。それもそれで気持ち悪いですね。
2013-04-25 Thu 21:16 | URL | かすてん #MLEHLkZk[ 内容変更]
>対Winマルウェアは最近では秒単位でばら蒔かれ
 推測ですが、脅威度の高い物が短期間で流行した場合は、大手のウィルス対策メーカーがスポット的に単体の診断・ワクチンプログラムを無料で配布するのだと思います。そうすると、Winの面目を一応保てますし、自社の機動力の宣伝にもなります。

>「オンライン診断」
 一方、オンライン診断は、プリインストール版かお試し版に似たものかもしれません。結果はネットで吸い上げられるのでしょうね。確実に感染しない限り、とても試す気にはなれないので、今のところ何とも言えませんが。
 プリインストール版は、あとで、アンインストールが難しかったり、本物に乗り換えろと画面に出て来てうるさかったりするのがよくあるパターンです。
2013-04-26 Fri 07:20 | URL | S.U #MQFp2i1U[ 内容変更]
>「オンライン診断」

Win機には個人情報もほとんど入っていないのでそれならばなんでも良いかということで、Microsoft Safety Scannerを使ってみました。
まず、自宅で使っているPanasonic機と小屋で使っているToshiba機をフルスキャンしてOKでした。これから、職場のSharp機をチェックしようと思います。
2013-04-26 Fri 08:04 | URL | かすてん #MLEHLkZk[ 内容変更]
コメントの投稿
 

管理者だけに閲覧
 

| 霞ヶ浦天体観測隊 |

FC2カウンター