at posts/single.html

他人の USB メモリを挿す時は Shift キーを押しっぱなしにする(ウイルス感染対策)

【注意】この日記に書かれている内容は不正確である可能性が高いです。詳しくは「autorun.inf では USB メモリは自動起動しない?」をご覧ください。誤っていると想定する箇所には取り消し線を入れています。

とある人の話。 Windows Update やワクチンソフトの更新も定期的に実行しているのに、今日突然ウイルス感染のメッセージが出たとのこと。 それと前後して、使っているUSBメモリにも知らないファイルができていたらしい。

そのUSBメモリを自分のPCに挿してウイルススキャンをかけたら、ルートディレクトリに「SXS.EXE」と「autorun.inf」というファイルが存在していた。同時に「sxs.exe」がワームであることも検出された。 調べると「WORM_QQPASS.ADH」という名前だそうな。

このワームは、USBフラッシュメモリ等のリムーバブルドライブを利用して感染活動を行います。ワームは、これらのドライブ内に以下のファイルを作成します。 SXS.EXE - ワームのコピー, AUTORUN.INF - 無害なファイル

USBメモリを挿すだけで感染する(AUTORUN.INFがウイルスを起動する)ってことか。 えげつないな…。

その人に聞いたら、数日前に普段使っているUSBメモリを忘れてきたので、他の人からUSBメモリを借りて自分のPCに挿したとのこと。 その時はUSBメモリが変な動きをしたらしい。 多分、感染経路はそこっぽい。

  • 他の人からUSBメモリを借りて自分のPCに挿す(USBメモリの自動起動機能で感染)
  • 自分のPCにUSBメモリを挿す(PCからUSBメモリにウイルスが複製)
  • USBメモリに知らないファイルができた

という流れか。 ちなみに、僕がウイルススキャンのためにそのUSBメモリを挿した時には、SHIFTキーを押したままにして自動起動を無効にしていたので、ウイルスは感染していない(その手のウイルスだろうと、ある程度は想像付いてた)。

しかし、これからは他人のUSBメモリを借りる時は注意が必要だな…。 「USBメモリを挿す時はSHIFTキーを押したままにすること」が、セキュリティ対策の常識になる日も近いかも? (CD-ROMもそうだけど、そもそも挿しただけで自動起動する仕様が、現状にあっていない気もする。Vistaだと対策されているんだろうか)

追記1

NTさんがVistaで実験されていた。 Vista だと少なくとも CD-ROM の場合は選択ダイアログが出るみたい。 (Vista 欲しいかも度++)

追記2

USBを挿してもそもそも自動起動しないような設定について。

CD-ROM については、レジストリかグループポリシーを操作すればよさそう(未確認)。 USB メモリの場合も、たぶん同じ仕組みのはず。

追記3

今時それやるとユーザ補助とぶつかっているとのこと。 Microsoft TechNet によると、右 Shift キーを 8 秒間押すとユーザ補助機能が起動するらしい。 左 Shift キーだと大丈夫っぽい。

追記4

多方面からリンクしていただいたんだけど、そもそもUSBメモリじゃautorun効かなかったような…という気になるブックマークコメントが。 「"AUTORUN.INF" というファイルは、ワームのコピーを自動実行する無害なシステムファイルです」という説明から、てっきりUSBメモリでも自動起動するものだと思っていた。 でも、USB接続したメディア内の“autorun.inf”を自動実行できる「APO Usb autorun」というツールがあるってことは、普段は自動起動しないってこと?

だとしたら、かなりの勘違い…。 ちょっと実験してみるか。

実験した結果、僕の環境では動かなかった。詳細はautorun.inf では USB メモリは自動起動しない?にて。

関連する日記