Win32/Pacex.Gen

雑記

なんか知らんけど、ウイルスを踏んでしまいました。最近猛威を振るっている(と思われる)、トレンドマイクロ分類では恐らく「W32.Gammima.AG」、お世話になったNOD32分類では「Win32/Pacex.Gen」というやつです。




このウイルスの特徴は、被害内容はショボイんだけど、生命力が恐ろしく強いということ。いくらレジストリを消しても復活してきます。ウイルス対策ソフトなしでの解決はムリ。今までWindowsMeでのうのうとしていたんですが、XPになって、ウイルスの怖さを再確認しました。させ子……。





このウイルスの被害内容を、目で見た順にまとめると、こうです。

  1. msconfigの起動オプションに、「kavo.exe」「mmvo.exe」なるものがある。消しても再起動すると復活する。
  2. マイコンピュータから各フォルダを開こうとすると、なぜか「n○delect.com」なるものに関連付けられていて、開けない(「c:\」と、アドレスバーに直接打てば開ける)。丸の部分は、僕のパソコンと妹のパソコンで(どっちも罹った)違ったため。「nsdelect.com」「nldelect.com」みたいにバリエーションがあるみたいです。*1
  3. フォルダオプションで隠しファイルやシステムファイルを見る設定にしようとしても、変えられない。これは僕のパソコンでのみ見られたので、「nsdelect.com」は劇症型なのかもしれないです。
  4. さらに、あるはずのnsdelect.comなどが、検索しても見つからない。コマンドプロンプトでも見つからない。

対処法は、http://ameblo.jp/sisc/entry-10054943322.htmlこちらのサイトを参考に、NOD32の体験版を利用しました。ただ、そのサイト通りともいかなくて、特に僕の罹ったものは3・4番の症状があったために、難航しました。セーフモードで起動して、NOD32で検査することで、見えないところに隠れていたDLLを発見し、駆除することができました。ファイル名もランダムで、あれはわからない。




後遺症が残ります。今現在、隠しファイルを表示できないままですし、nsdelect.comを隔離しても、ドライブが開けないのは変わりありません。そこで、レジストリを直接いじって元に戻しました(レジストリの操作は自己責任で。と言っておかないといけない気がする)。
直すのは、

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

です。ここにドライブの情報が書かれてるんですが、Pacex.Genはここに無理やりnsdelect.comを関連付けてきやがります。
各ドライブ、特に問題なのはハードディスクドライブですが、ここに次のようなツリーができています。


└Shell
 ├AutoRun
 │└Command
 ├explore
 │└Command
 └open
  ├Command
  └Default

Cの場所は、他の対応するドライブだったり、なんだかよくわからないキー({XXXXXX-XXXXX-XXXX}みたいの)だったりします。この「Command」のところに「nsledect.com」とか言う値が入っているのです。
で、中途半端にこの「Command」だけ消してしまうと、関連付けができてないとか言われることになるんですが、実はこの「Shell」以下は要らないので、Shellキーごと消してしまいます。すると、まともに動くようになりました。見た目は、ズバリ

C

こう。ちなみに、中身は

(既定)   (値の設定なし)
BaseClass  Drive

こんな感じ*2




というわけで、非常に恐ろしい、ゾンビのようなウイルスでした。しかし、内容はネトゲのアカウントを盗むとか、そんな内容らしい。これで中身も暴虐なものだったらと思うと、身の毛もよだつ思いである。結論。XPはさせ子なので、ウイルス対策をちゃんとね!



(翌日追記)
フォルダオプションの改変は、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

の書き換えでなされていました。"CheckedValue"=1であるはずが、0に改変することで、SHOWALLをさせないようにしていたのです。



というのを僕は昨日突き止めて直したんですが、コメントにあるように
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2007-082706-1742-99&tabid=2
レジストリの改変について書かれているようです。わかってたら早く直せたな。

*1:「ntdetect.com」というファイルは、正しいファイルなので消すと大変なことになるらしい。覚え方は「全部t」

*2:これは、無事なパソコンのレジストリと比較検証して操作しました