1.自動再生 無効化 対策 Eee PCに忍び寄るUSB感染型ウィルスの脅威とその対策,Autorun.inf防疫システム「PeopleAutorunLock」、USBウィルスを遮断する

0
    自動再生 オフ 禁止 抑制 ! USBウィルス防御システム「PeopleAutorunLock」。「MAL_OTORUN1」,「WORM_AUTORUN」「W32/SillyFD-AA」,「W32/LiarVB-A」,「 「WORM_QQPASS.A」」などからパソコンを守る。
     今回は自動再生の無効化しウィルス対策を講じる方法を紹介する。
     USBメモリを接続しただけで感染するという性質の悪いウィルスがいる。「MAL_OTORUN1」,「WORM_AUTORUN」「W32/SillyFD-AA」,「W32/LiarVB-A」,「 「WORM_QQPASS.A」」などなど、現在一番猛威を振るっているようである。

     今回はEee PCに最も危険なUSB感染型ウィルスの防疫システムを作ったので案内する。フリーウェアとして配布する。
    1.昨今のウィルス事情
     トレンドマイクロ社のWebで発表している2008年2月の被害状況表を示す。

    http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20080304020658.html
    コンピュータウィルス被害状況
    [クリックで拡大]

     この図は、トレンドマイクロのHPよりスクリーンショットをとったものだ。
     問題は、1位と5位にいる「オートラン」型と呼ばれるものである。これはいわゆるUSBウィルスないし、USB感染型ウィルスと呼ばれている一族だ。

     このウィルスの厄介なところは、現在、感染を事前に防止するプロテクタがないようだということだ。各種あるアンチウィルスシステムはだいたい、、、次のような対症療法をとっているようである。つまり、「感染してから駆除する」
    というものだ。

     感染後は、アンチウィルスに任せるとして、感染前に防壁をはる事はできないだろうか。。。というわけで、「PeopleAutorunLock」を開発した。フリーウェアとして配布するので上手に使用して欲しい。

    1.Eee PCの鬼門、ウィルス対策
     Eee PCのように、、、そもそも、ディスクがSDHCというゼロスピンドル機は、この手のウィルスに極めて弱いように思う。さらに、CPUパワーも含めて軽量化されたEeePCではワクチンソフトそのものが入れにくい。

    1)C:ドライブにワクチンソフトを入れるのは無理だろう。。。
     C:ドライブは4GBしかない。。。まっさらな4G−XUで
     空きは1.49GBしかない。

    Eee PC 4G−Xのディスクの空き容量
    [クリックで拡大]

     ラボの52GB化EeePC白(パク)のC:ドライブは対してソフトを入れていないのだが、、、もう277Mバイトしかない。おそらく、どなたのEeePCも似たり寄ったりだろうか。。。これではアンチウィルスは心理的に入れにくい。

    2)ワクチンを入れるとパソコンが重くなるとはみなさんご承知の
     とおり。。。EeePCに入れたら「ニコニコ動画」が途切れず
     に再生できるだろうか?
    ニコニコ動画はコマ落ちせずに再生できるか?

     まあ、アンチウィルス本体はD:ドライブに入れて逃げる事ができるが、処理が遅くなるのは困る。。。アンチウィルス系はEeePCの鬼門の一つではないだろうか。

    2.USB感染型ウィルスのメカニズム
     WindowsはCD−ROMを入れると自動的にソフトが起動する仕掛けを持っている。みなさん良く見かけると思う。USB感染型のウィルスはこの仕掛けを利用している。



     Windowsは、「Autorun.inf」「Autorun.ini」という特別なファイル名を決めている。このファイルをWindowsが見つけると自動実行する。もし、ここにウィルスが入っていた場合は黙って感染するというものである。まあ、実際にはもう少し複雑である。このシーケンスを順を追って見て見よう。USBをWindowsに接続した時の流れを示す。

    1.USBをパソコンに接続する。
    2.Windowsは、USBのルートにAutorun.infか、Autorun.iniファイルがあるか調べる。もし、ある時はこれを実行する。
    3.および、ユーザは、USBに格納した文書やフォルダをコピーないし
     実行する。

     USB感染型のウィルスは、この2.と3.のプロセスを踏み台にして感染する。
     Autorun.infは、このUSBを接続した時に自動的に実行する手続きを記述したスクリプト(プログラム)だ。
     Autorun.iniは、このUSBを接続した時にパソコンにインストールする必要のあるソフト(主にドライバと呼ばれるもの)を記述している。

     もうお分かりだろう。。。このAutorun.iniあるいiniに、ウィルスをPCに感染させるようにスクリプトを記せば何が起こるか。。。USBを挿した瞬間、PCにウィルスがめでたくインストールされるという嫌な事態が発生する。

     おっと、読者の中には、AutorunはCD-ROMの時に有効で、USBの場合は無効だろうと思う方がいるだろう。。。実はそうでもないのである。次回以降に詳細を説明するが、ラボで拵えた簡単な「ウィルスもどき」を紹介する。

    USB感染ウィルスの感染テスト。USBを接続すると次のように成りすまし実行できる
    [クリックで拡大]

     この図は、ラボで作った「ウィルスもどき」の入ったUSBをパソコンに接続したところだ。
     USBを接続すると「hogehogeフォルダを開きます」というメッセージが出現する。これはAutorun.infの中で記述している。ここでうっかり、これをクリックすると、ブービートラップが炸裂するわけだ。ラボではこれをクリックするとフリーウェア「メモリチェック27.exe」を起動するようにした。まったく、無害なソフトである。。。

     しかし、、、うっかりクリックして実行したファイルがもしウィルスプログラムであったらと想像力を働かしてもらいたい。即感染である。USBとはいえ、うかうかしていられないのである。

     これに対する対処は次のようなものだろう。
     Autorunファイルの読み取りを阻止すれば良い。

     ラボで開発したフリーウェア「PeopleAutorunLock」は、Autorunファイルの読み取りを禁止するものだ。WindowsがAutorunを読もうとした時にブロックする。そして、読めないわけだから、当然実行もできないわけだ。
    ※後述するが、NTFS形式フォーマットのディスクを除く。

     しかし、これで安心してはいけない。USBにウィルスがいた時にユーザがこのウィルスを実行する危険がある。そんな馬鹿なと思うかもしれない。。。もし、、、ウィルスが次のようなアイコンに偽装していたとしたらどうなるだろうか。。。

    フォルダに偽装したプログラムの作成例

     これは試しに、ラボで作成したフリーウェア「メモリチェック27」のアイコンをフォルダに変更した例である。。。例えば、、、他所から来たUSBを接続し、フォルダのつもりが、クリックしたらBomb!...となる。実に性質が悪い。

     さようことほど、あっさり、地雷を踏む事になる。
     人は見たものを信じる生き物だ。素直に引っかかるだろう。。。
    では、これにどう対処するか、、、

     プログラム形式のファイルの読み取りを阻止すれば良い。

     コンピュータウィルスは、ウィルスと呼ばれているけども、プログラムの一種である。従い、一律、USB上のプログラムを読めなくしてしまえば良い。

     というわけで、次のようなプログラムをラボで開発した。

    USBウィルス防御システム「PeopleAutorunLock」。USBウィルスを防ぐ
    [クリックで拡大]

     使い方は簡単だ。

    1.インストールする。
    2.パソコンを再起動する。
    3.図のスイッチを入れる。以後、接続したUSBからの感染を
     ブロックする。

     おっと、ここで重要な事を述べておく。

     EeePCでは、この第2スイッチをONにするためには、必ず「f2d」が必要である。

     EeePCのD:ドライブはSDHCであるから、一般のUSBメモリと区別がつかない。このスイッチをONにした瞬間からSDHC上のプログラムは読めなくなる。。。

     従い、EeePCにおいては「f2d」の正規ユーザ以外はこのスイッチをいれないようにしよう。もちろん、普通のハードディスク型のパソコンではこのような心配は要らない。びしばしスイッチを入れてよいだろう。

     おっと、、、第3スイッチの説明を忘れた。実はMS社の提供するディスクのフォーマット形式はFAT形式とNTFS形式の2つあるのだが、、、NTFSにはとんでもない問題がある。本ソフトではNTFSを使えなくするスイッチを設けている。

     次回にはこれの説明をしよう。また、ざっとUSB感染ウィルスを述べたが実際に「USB感染ウィルスもどき」を作って一つづつ説明していく。

     また、「PeopleAutorunLock」は来週末に公開配布予定だ。

    PS.
     「メモリチェック27(旧称PCC27)」が公開となり、ようやく本来のセキュリティソフトの案内ができて嬉しい。

    [総合目次]  [次回]


    Windows 高速化 プチフリバスター
    --->
    Eee PC高速化・SDHCのHDD化 プチフリバスター製品紹介ページ

    この記事のトラックバックURL
    トラックバック

    SSDの高速化ツール Eee PC SDHC HDD 化 フリーウェア プチフリ 退治 解決 根絶に、現象測定ツール USB/SDHCカードブートにより簡単バックアップ フリーウェア USBメモリ、CFなどの不良検出ソフト FeliCa で ログオン フリーウェア USBウィルス対策ソフト フリーウェア 無限乱数式暗号フリーウェア USB ブート 簡単メモリチェック

    TEST1

    USB ブート 簡単メモリチェック

    selected entries

    categories

    archives

    recent comment

    • PBTM v0.1・起動USBによるEee PC・ネットブックのお手軽バックアップシステムを作る
      USBブート拡散部
    • WindowsXPの自動デフラグ機能について
       
    • ASUS Eee PC 701 SD-X日本語版の分解・オーバービューその2
      小林
    • 工人舎PM PM1WX16SA レビュー カスタマイズ 高速化
      meme
    • ★暗号化 Eee Storage/YoStoreの120%活用法
    • ★暗号化 Eee Storage/YoStoreの120%活用法
      ひろちゃん
    • f2dによるEee PC 901・4G-XのCドライブにSDHCを連結して容量を増大させる拡張 Part3.
      nick
    • f2dによるEee PC 901・4G-XのCドライブにSDHCを連結して容量を増大させる拡張 Part3.
      NAO
    • PBTM v0.1・起動USBによるEee PC・ネットブックのお手軽バックアップシステムを作る
      KyonKyon
    • PBTM v0.1・起動USBによるEee PC・ネットブックのお手軽バックアップシステムを作る
      kouichi

    recent trackback

    links

    profile

    search this site.

    others

    mobile

    qrcode

    powered

    無料ブログ作成サービス JUGEM