ウィルスを仕込まれた… - HINのゲームとかアーケードゲーム基板に関する日記

　ウィルスを仕込まれてしまったので、かなり恥ずかしいけれども、誰かの参考になるかもしれないしメモとして。

　夜中にWindows Updateが走り出したのでAirH"で繋いだまま放置していたら、なんかNorton Antivirusがウィルスを見つけたとか表示されていたので、netstat -all > 070816.log, netstat -b >> 070816.logを実行してログを取って、その後に立ち上がっているアプリを落とせるだけ落としてfile monitorを起動して何を開いているかを観測。どうもWindowsファイル共有されているディレクトリをアルファベット順に開いてexeファイルを探しているみたい。人力ではなくてプログラムっぽい。こちらを攻撃しているマシンもウィルスか何かにやられているのかもしれない。
　で。回線を切って調査。

　Norton AntiVirusのlogを確認すると、こちらのファイルが開かれてexeファイルにW32.Licumというウィルスを仕込まれて書き戻されてた。んで、それをNorton Antivirusが検出して削除してくれてた。
　なぜWindowsファイル共有されたのかは不明。パスワード聞かれるはずなのにそれを通り抜けられたのか、Windowsの何かをつかれたのかは不明。原因は分からないけれども、とりあえずAdministratorとユーザーパスワードを変更。
　あとは数日前にオンラインで買ってそのまま使っていたNorton SystemWorksの設定がちょっとまずかったので変更。ウィルスとスパイウェアの防止オプション->インターネットワームにあるインターネットワーム防止のデフォルトWindowsファイル共有とデフォルトMicrosoft Windows 2000 SMBに192.168.10.1/255.255.255.0みたいな感じで接続可能な範囲を指定。ルーターの下で使っているとルーターで遮断しているので気にしてなかった。今回はAirH"だからそのまんま外から見えちゃって、デフォルトだとまずい。

　運が良かったのはデータ類はすべてD:に置いてそこだけファイル共有をしていて、C:はファイル共有していなかったので重要なファイルを買い換えられなかったのがちょっとだけラッキー…かな。あとは回線が遅かったのとD:に見られて困るようなデータは置いていなかったのが救いかな…。ただC$,D$などとするとディスク全部見えるはずなのに、それは見ていないっぽいのが謎。これはWindowsだとサポートのためにデフォルトで有効になっていてちょっと迷惑。ディスク全体を共有しようとするとWindowsから怒られるのに、標準で全体が共有されているのがなんとも。この共有は簡単に消せないし。
　C:込みで全部消して再インストールしたいところだけれど、実家だと他にPCが無くて困るので、ひとまずはD:でfind d: -name "*.exe" | xargs rm -fを実行してexeファイルを全部消去。自宅に戻ってから再インストールをしよう。

　Windowsを使うようになって始めてウィルスにやられてしまった。Antivirusソフトを入れていて良かったかもしれない。
　ちょっとへこんでしまった…。気をつけないと。