Friday, 15 June 2007

WORM_FORBOT.AE, WORM_WOOTBOT.HO対策

WORM_FORBOT.AE, WORM_WOOTBOT.HO対策
怪しいと思いながら擬似フォルダーをクリックしてしまった。以下対策メモです。

感染経路
フォルダーに似せたファイルを作成する。これがexeでクリックすると感染する。
感染するとレジストリエディタ、タスクマネージャが起動しなくなる。
ネットワーク経由でファイルへアクセスする際、擬似フォルダーに注意が必要である。その際、「登録されている拡張子は表示しない」に設定していないとフォルダかexeファイルかわからない。
ウィルスファイルは、「SCVVHOST.EXE」です。

対処方法
msconfig
システム構成ユーティリティを起動
スタートアップからSCVVHOST.EXEを無効にし再起動する。
レジストリエディタ、タスクマネージャが起動するか確認
起動できなければシステム構成ユーティリティを起動しスタートアップからSCVVHOST.EXEを無効にし再起動する。

regedit
レジストリエディタを起動。

SCVVHOST.EXEを検索、削除する。

再起動
TrendMicoroのオンラインスキャンを実施

「登録されている拡張子は表示しない」に設定方法
コントロールパネルから
「デスクトップの表示とテーマ」、「デスクトップの表示とテーマ」、「フォルダオプション」、「表示」をクリックします。

「詳細設定」の一覧から、「登録されている拡張子は表示しない」をクリックし、チェックを外します。
(エジプトのローカルネットワークはどうやら完全にやられているようだ。)

No comments: