【 恐怖!ウィルスとの遭遇 】 ちょいと文章おかしいカモです…

4/24/25発病危険日4/26発病危険日6/26戻るTOPへ

4月2日

2000年3月26(日)に、某知人からもらったCD-Rにアクセスしたとたん、常駐ウィルススキャンから『ウィルスに感染しました』と言われました。

最初、何が原因だったのか分かりませんでした。朝起きてからずっと不具合なくパソコンを使用し、短時間の昼寝後にパソコンをつけて、貰ったCD-Rの事を思い出し、入れてみたのです。 バックグラウンドではOutlook、ネスケ、エクスプローラ等が動いてました。CDドライブはオートラン対応になっていたので、ファイルを読みにいったか、動いたとたんに感染したらしいです。

ウィルスの種類は『W32/CIH.SPACEFILLER』(リンクは適当…)…よく知らないけれどチェルノブイリとかいうブツらしいです。 そいつについての説明…(Network Associates HPより引用)

W32.CIH.SPACEFILLER(以下CIH)は台湾で作成され、98年6月に報告されました。現在のところ三種類の亜種が報告されており、うち2種は、実際に被害報告があがっています。CIHは、Windows95/98のPE型実行形式ファイルファイルに感染します。

CIHは、ウイルスコードの本体を分割することができ、それを感染ファイルの非使用部分に、埋め込みます(注:PE型実行形式ファイルには、通常、多くの未使用部分が含まれています)。 本ウイルスには、毎月26日にフラッシュBIOSの上書きを試みるという、きわめて危険な発病機能が含まれています。フラッシュBIOSが書き込み可能状態になってい るマシンでCIHが発病した場合、(フラッシュBIOSを搭載した最近のコンピュータは たいていこの設定になっています)マシンは起動不可能になってしまいます。この他、ハードディスクをごみデータで上書きするという発病も同時に発生します。

このファイル感染ウイルスが、コンピュータに感染する唯一の手段は、コンピュータ 上での感染ファイルの実行です。感染ファイルは、フロッピーディスク、オンラインサービスによるダウンロード、およびネットワークなど、多数のソースから生じることが考えられます。いったん感染ファイルを実行すると、ウイルスが発動するおそれが あります。

亜種情報: CIHウイルスには、現在、以下の亜種が確認されています。

CCIH 1.2 TTIT(4/26発病)
CCIH 1.3TTIT(6/26発病)
CCIH 1.4 Tatung (毎月26日発病)

ウィルススキャンは「駆除しますか?」と聞いてきましたが相手はCD…駆除出来るはずもなく「駆除に失敗しました」…その後次々インストーラが動き、そのたびにEXEが感染し、いちいち駆除に失敗するので仕方なくキャンセル…ネスケとかその他にアクセスしようとすると「アクセスを拒否されました」とか出る!わああ!!

確かその後パソコンが動かなくなって勝手に電源切られたような…で、もちろん再起動させる…ネットワークのダイアログが出て(LAN環境なので)エンターを押した後、Win98が起動する前に白いBOXがでて「××がどーとかこーとか Windowsを再セットアップ゜して下さい」と出て勝手に終了…電源を切られてしまう。

普段からデータのバックアップを取ってなかったので『冗談はよしこさん!』とばかり、ともかくデータ救出をしようと起動ディスク突っ込んで立ち上げ…(PC無知なので対処がアホだと思います) 何度か失敗し(うわぁ)…その後何だかわからんが立ち上がったので、まずはウィルススキャンで全ディスクをスキャンしました。 すると…たしか3,4百くらいのEXEに感染してました…あの短時間であっとゆーま…うげげ。その段階で駆除に失敗したものは無かったので、ああ良かったと思い、感染源は…やっぱりCDかなぁと、試しにもう一度アクセスしてみたら(試すなよ)…出る、感染しました。苦。また駆除し、そのCD-ROMは封印…ちぇっっっ、楽しみだったのに(爆)

そのウィルスについてちょっと調べ、データよっこしたりさんざん使って席を離れ、戻ってみると…スクリーンセイバー中のチェックで引っかかっている…ウィルスをつかんだ絵のダイアログが出て止まっている…。指示に従い駆除に成功…成功はいいが、全チェックでOKだったはずなのに何故出るか…そこが何だか不安要素。
ともかく毎月26日発病の型では無かったようです。

以下、さんてぃーにっ宙でのパソコンに詳しいシィアル師匠様のお話…言葉が妙ですが、これはシィアル師匠が変なのではなく(爆)「宙」の方言機能により変な言葉に変換されているせいです。


EXEファイルに感染するので、持ってる実行ファイルを全部スキャンしてみて、駆除できたらオッケーだと思うよよん。 発病日にPCを使わにゃいこと。(使うと壊れるから・・・)やっぱり毎日のウィルスチェックを心がけたほうがいいかもにぇ。

26日が発病(パソコンのハードデイスクが壊される日)であって感染の危険は常時あるの。だから、発病前にすべての実行ファイルにウィルスチェックをかけて、発見されにゃいんでしたら、26日にパソコンを使ってもだいじょうぶですにゃ。
発見されたら駆除してください。駆除に失敗した場合は、感染していたファイルを削除してください。ただし、関連するアプリケーションの再インストールが必要ですにゃ。また、Windows関連のファイルを削除した場合、Windowsが正常に起動しにゃくにゃる恐れがあるので注意してください。 発病しちゃったら・・・
ハードディスクをフォーマット、Windowsのインストールからすればパソコンは使えるようににゃりますにゃ。(データおにゃくにゃりににゃってるけど・・・)

多分、普段の26日には発病しにゃいタイプだったのでしょう。BIOS云々は、マザーボードが特定のチップセットを搭載している場合に壊されるということ。全部というわけじゃにゃいの。
とにかく、Xデー前までに完璧に駆除しておけばオッケーですにゃ。

シマンテックでは「KILL_CIH」というツールを無償で配布していますにゃ。(24KByteしかにゃいからあっという間にダウンロードできますにゃ。)これで何ができるかというと、メモリに常駐しているCIHを見つけ無効化しますにゃ。見つからにゃかったらいいけど、見つかったら無効化された状態で、最新のパターンファイルでウィルスの駆除を行にゃえばいいということですにぇ。

その他の参考文献(協力:Shunさん)
http://www.fs-support.yamada.co.jp/df/v-descs/v-descs/cih.htm
http://sapporo.cool.ne.jp/nannkin
アンチウィルス

ともかくそのとき出来る限りのウィルスチェックを行い、とりあえずは引っかからなくなりました。ただ、ウチにあるウィルススキャンはバンドル版で、最新のウィルスチェックエンジンではないため、ウィルス定義ファイルの配布が昨年12月で止まってしまっていました…。最新の製品版の購入を心に誓ったのですが…当時残業の嵐真っ直中で、なかなか買いに行けずにいました…。

すると、感染源となった某氏が、お詫びと言って製品版を買ってきてくれました。(何だか申し訳ないので半額出したが…)それで徹底チェックをかけてOK。わ〜無事だ〜と思ったのですが…

何故だ!さっき外付けにファイルコピーしようと開いたとたんに今度はW95を発見(と同時に感染、駆除済)…!
やっぱり怖い…外付けもやられたのか…?もちろん徹底チェックで外付けドライブも全てかけたのだが…万全策はフォーマットしての再インストールか…ああ、やりたくない、4月26日のX-DAY前に万全バックアップを取って(外付けがやられているならもしかして意味ないかもだが…)26日を迎えて…だめなら(否応なしだが)再インストールするかなぁ。
X-DAYは2回ある 、4月の次は6月だ。ううううう。どっちにしろWinなど、定期的な再インストールが必要なわけだから、どっかで諦めなくてはいけませんな。

しかし、ほんと〜に常駐させてて良かった〜『ウィルススキャン』

某氏は別の場所でダウンロードしたファイルを自宅に持ち帰り使用していたそうです。自宅マシンはスタンドアロン…ゲームに全力を尽くす仕様となっているため、ウィルスソフトなど一切入れていなかったそうです。そのため自宅では発見されず、たまたまCD-Rを作ってもらった私のうし君で 発見された…と。
私に言われて自宅マシンにチェックをかけた某氏曰く『感染しまくってた〜〜』 …もし、私がCD-Rを頼まなければ、私は感染せず、某氏のパソコンのウィルスは繁殖し続け、おそらく4月のX-DAYに発病してとんでもないことになったことでしょう…。
某氏にとってはラッキー、私にとってはアンラッキーなこの出来事…勉強にはなりました(爆)

そして、まだ何かの拍子にウィルスソフトがウィルスを発見するし、X-DAYを迎えていないので、この騒ぎが完全に収束したとは言い切れないのでした…

あああああ〜〜怖いよう〜!!(T_T)

…というわけで、この話は続報があるかもしれません…しくしくしく… 

4月25日 

今日は4月25日…明日は26日だ…今日は0時には電源を落とす、明日は朝は使わない。でも帰宅したらつけるつもり。時間がないので詳しいことは後で書こう。
…明日以降、無事にこれの続きが書けることを祈ろう。

4月26日 

朝は怖いのでパソコンをつけなかった。夜…帰宅してから外付けHDの電源を入れずに起動した……ちゃんとGatewayのでかいロゴが出て起動した、バンザーイ\(^O^)/!無事だ♪ その後ネスケが落ちたついでに再起動…大丈夫、おっけーだ。
あれだけ対策したんだから、無事で当たり前よね(なんちって)
一応6月26日にも警戒しよう、それを越えれば完璧でしょう。

昨日、0時を迎えるまでに行った作業(一部順不同かも…でも重要な部分はこの流れ)

  1. 最新のウィルス定義ファイルをダウンロードする。
  2. kill_cih.exeをダウンロードして。c:¥にいれておく。
  3. 会社でこそこそ調べた対策等をメールしておいたので(爆)それを受信し必要部分を印刷。
  4. SafeモードでWindowsを起動し(途中でF8を押す)、定義ファイルをインストールする。
  5. もう一度Safeモードで再起動し、MS-DOSプロンプトにて『c:\>cd ..』『c:\>kill_cih』でメモリのウィルスチェック&無効化を行う(無事)
  6. ウィルススキャンで全ドライブ(内蔵・外付)のプログラムファイルに対してウィルスチェックを行う(無事)
  7. 内蔵ドライブから外付HDへデータのバックアップを行う。ネスケのBookMarkも忘れずに。MyDocumentoフォルダもね。(この辺はそれぞれどんなディスクの使い方をしているかによりますね。ウチはC:\はほとんどシステムのみ)
  8. 牛飼いフォーラムなどでフラッシュBIOSの書き込み禁止法を探してみる…が、あまり成果なし。無いのかもしれない…そんな記述はあった…。BIOSバックアップ法はいまいち分からず。新BIOSを落としてからじゃないとダメなのか?純正BIOSのある米国Gatewayサイトは当然英語なので完全にめげる(爆)日本語でも分からないのに、分かるわけがない。
  9. とにかくデータは退避したので、もしHDの直接フォーマットをされても何とかなるはずだ。覚悟を決めて0時までに電源を切る。(これは万が一、夜中や朝なんて嫌な時間に発病してパニックを起こしたくないからだ)
  10. 万が一BIOS書き換えをやられた場合は、マザーボードの買い換えを覚悟する(うへぇ)

こんな所か…。感染から3,4日後にはウィルスチェックをしてもどこも引っかからなくなっていたので、大丈夫だとは思っていたけれど、いろいろ検索すると一筋縄ではいかないような駆除法でしか駆除できなかったと書いてあったり、いろいろだったので心配だったのだ。
ともかく無事で良かった…---------良かったよう〜っ

6月26日 

4月26日が無事だったし、その後のウィルスチェックもかなりマメに行っている(何たって毎日夜9時にスケジュール入れてチェックしている)。そのためすっかり気が緩んで、25日の夜、パソコンを使いっぱなして気が付けば26日になっていた…(爆)
26日朝も、昨晩無事だったのでまるで気にせず電源オン。問題なく稼働。ほ、これで『W32/CIH.SPACEFILLER』君は絶滅を確認された事になる。あ〜良かった良かった…。
ところでそろそろ…Windowsのクリアインストールの時期かしら…あううう(T_T)

 

戻るTOPへ