他人の USB メモリを挿す時は Shift キーを押しっぱなしにする(ウイルス感染対策)
【注意】この日記に書かれている内容は不正確である可能性が高いです。詳しくは「autorun.inf では USB メモリは自動起動しない?」をご覧ください。誤っていると想定する箇所には取り消し線を入れています。
とある人の話。 Windows Update やワクチンソフトの更新も定期的に実行しているのに、今日突然ウイルス感染のメッセージが出たとのこと。 それと前後して、使っているUSBメモリにも知らないファイルができていたらしい。
そのUSBメモリを自分のPCに挿してウイルススキャンをかけたら、ルートディレクトリに「SXS.EXE」と「autorun.inf」というファイルが存在していた。同時に「sxs.exe」がワームであることも検出された。 調べると「WORM_QQPASS.ADH」という名前だそうな。
このワームは、USBフラッシュメモリ等のリムーバブルドライブを利用して感染活動を行います。ワームは、これらのドライブ内に以下のファイルを作成します。 SXS.EXE - ワームのコピー, AUTORUN.INF - 無害なファイル
USBメモリを挿すだけで感染する(AUTORUN.INFがウイルスを起動する)ってことか。
えげつないな…。
その人に聞いたら、数日前に普段使っているUSBメモリを忘れてきたので、他の人からUSBメモリを借りて自分のPCに挿したとのこと。 その時はUSBメモリが変な動きをしたらしい。 多分、感染経路はそこっぽい。
- 他の人からUSBメモリを借りて自分のPCに挿す
(USBメモリの自動起動機能で感染) - 自分のPCにUSBメモリを挿す(PCからUSBメモリにウイルスが複製)
- USBメモリに知らないファイルができた
という流れか。 ちなみに、僕がウイルススキャンのためにそのUSBメモリを挿した時には、SHIFTキーを押したままにして自動起動を無効にしていたので、ウイルスは感染していない(その手のウイルスだろうと、ある程度は想像付いてた)。
しかし、これからは他人のUSBメモリを借りる時は注意が必要だな…。
「USBメモリを挿す時はSHIFTキーを押したままにすること」が、セキュリティ対策の常識になる日も近いかも?
(CD-ROMもそうだけど、そもそも挿しただけで自動起動する仕様が、現状にあっていない気もする。Vistaだと対策されているんだろうか)
追記1
NTさんがVistaで実験されていた。 Vista だと少なくとも CD-ROM の場合は選択ダイアログが出るみたい。 (Vista 欲しいかも度++)
追記2
- CD-ROM の自動実行機能を有効または無効にする方法 (Microsoft サポートオンライン)
- CD-ROM の自動起動 (AutoRun) を禁止したいのですが (w2k:カスタマイズ)
CD-ROM については、レジストリかグループポリシーを操作すればよさそう(未確認)。 USB メモリの場合も、たぶん同じ仕組みのはず。
追記3
今時それやるとユーザ補助とぶつかっているとのこと。 Microsoft TechNet によると、右 Shift キーを 8 秒間押すとユーザ補助機能が起動するらしい。 左 Shift キーだと大丈夫っぽい。
追記4
多方面からリンクしていただいたんだけど、そもそもUSBメモリじゃautorun効かなかったような…という気になるブックマークコメントが。 「"AUTORUN.INF" というファイルは、ワームのコピーを自動実行する無害なシステムファイルです」という説明から、てっきりUSBメモリでも自動起動するものだと思っていた。 でも、USB接続したメディア内の“autorun.inf”を自動実行できる「APO Usb autorun」というツールがあるってことは、普段は自動起動しないってこと?
だとしたら、かなりの勘違い…。 ちょっと実験してみるか。
実験した結果、僕の環境では動かなかった。詳細はautorun.inf では USB メモリは自動起動しない?にて。