うちに3台ある自作パソコンのうち,4年前に作ったこの"初号機"をウィルスに"感染"させてみることにしました。 スペックを紹介すると, マザーボードは,ASUSのP2B(チップセットは440BX・・・当時の定番でしたね) CPUは,PentiumU 300MHz メモリは,256MB ハードディスクは,6GB OSは,Windows2000Pro SP2(さらに,実験前にWindowsUpdateで最新の修正パッチを当てました) もちろん4年前はWin98でしたが,2年くらい前にWin2000に入れ替えました。 ブラウザは,Internet Explorer 5.5 SP2(これも最新のセキュリティパッチを当てました) メーラーは,Outlook Express 5.5 SP2(同上) メインマシンをPen3 866MHzの自作機に替えてからは,ライブカメラの実験のために1ヶ月間電源を入れっぱなしにしたり, 自宅サーバを立ててストリーミング配信の実験をしたり等々,激しい使い方をしてましたが,最近は隠居して(?), 子どものおもちゃになってました。 ひょっとすると,この実験が最期の"お務め"になるかも。 とりあえず,「GoBack3」をインストールし,アドレス帳は僕以外のメールアドレスを全部削除し,IEのキャッシュもクリアしました。 これでウィルスに感染しても誰にも迷惑がかからないはずです。 当然,LANでつながっている他のPCは全部電源を落としました。これで準備完了です。 |
これがKLEZのウィルスメール。 この文面にだまされてはいけません。ここで紹介されているのと同じじゃありませんか。 メールヘッダを見ると,ここ2週間毎日のようにウィルスメールを送ってくる人(実際はPCが勝手に送ってくるんだけど)だと分かりました。 ●■県の教育関係者のようです。早く気づけよな〜。(^_^;) ご存じだと思いますが,KLEZは送信元を偽装するので注意が必要です。詳しくはこちら。 なお,【理科の部屋2】でも指摘されましたが,コンピュータウィルスの中にはBIOSを破壊する過激なもの(W95.CIHなど)もありますから,注意が必要です。 KLEZは,パソコン内にある他のウィルスまで一緒に運んできたりするタチの悪いやつなんです。 ですから,FlashROMにBIOSを書き戻せるだけのスキルとツールを持った人か,僕のように軽率な人以外はこんな実験をしてはいけせん。マザーボードをメーカーに送らなくてはならない羽目になります。BIOSの書き戻しをメーカーに依頼するといくらかかるんでしょうね。 そういえば\2000出すと,BIOSを書き戻してくれるこんな業者もあるみたいですよ。って煽ってどうする。 まあ,僕にこのメールを送ってくるこの人のPCは少なくとも2週間は"生きてる"わけだから,たぶんBIOSを破壊するような悪さはしないでしょう。 よーし,添付ファイルを開いてやろうじゃないか。 |
まずは罪のなさそうな画像ファイル。 添付ファイルをダブルクリックすると,こんな警告が出ます(SP2パッチを当ててある場合ね。これを当ててない場合は,いきなり"感染"しますよ。「SP2パッチって何?」というあなた,急いでここへ行ってパッチを当てましょう)。 ここで思いとどまって「キャンセル」すれば大丈夫なのですが,今回は「OK」なのだ。 開いてみるとホントに画像ファイル(学校の校舎の写真)でした。 ファイル名から察するにIEのキャッシュに入っていたもののようです。 ところでjpg画像ファイルがウィルスに感染してるってこともあるんですかね。よく知りません。 【注】実際にはこのダイアログをキャプチャーして画像をFDに保存してから「キャンセル」,次のファイルをダブルクリックして現れたダイアログもキャプチャーして画像をFDに保存してから「キャンセル」しました。その後FDをPCから抜いて,もう一度このファイルをダブルクリックしてから「OK」ボタンを押しました。 つまり,これとこの下の画像ファイルはPCがウィルスに感染する前に"外"に取り出してあるので,ウィルスに感染している恐れはまったくありません。 "軽率"なわりに注意深く作業してるでしょ。 |
こっちが"本体"でしょうね。 警告を無視して「OK」のボタンを押すと・・・, ハードディスクがにわかにカリカリ音をたて始めました。 おお,ついに"終わりの始まり"か! なんだかドキドキします。 |
さっそくTREND MICROのオンラインウィルススキャンをやってみました。 そしたら出るわ出るわ,ウィルスやウィルスに感染したファイルが山のように見つかりました。その数 なんと262個! WORM_KLEZ.Hの他に,PE_ELKERN.Dというウィルスもありました。 KLEZは,c:\WINNT\system32\にwinktw.exeというファイルを作っていました。(一般に,wink*.exe(「*」は無作為な文字列)というファイルができるらしいですね) TREND MICROから引用すると, 「感染すると、E-Mailの自動送信と共有ドライブへのコピーで増殖し、また同時に実行可能形式ファイルへのウイルス感染をおこなう別プログラムも作成します。トレンドマイクロ製品ではこのウイルス活動を行う別プログラムを「PE_ELKERN.B」(エルカーン) またはその亜種(「PE_ELKAERN.D」など)として検知します。 「WORM_KLEZ」本体、「PE_ELKERN」双方ともネットワーク上で感染を広め、悪質な活動をおこないますので感染が判明したマシンはすぐににネットワークから切り離すことをお勧めします。」 ということだそうです。 ちなみにこれ以降の画面はキャプチャーしないでデジタルカメラで撮りました。キャプチャーして保存した画像ファイルがウィルスに感染したらシャレになりませんからね。 |
LANケーブルを抜いて再起動しました。 「GoBack3」は,BIOSとWindowsの間に割り込んで起動してきます。はじめにこういう画面が2秒ほど表示されるのですが,ほっとくとWindowsが起動します。Windowsに不具合が起こった時にはここでスペースキーを押して復元処理を行うのです。 当然ここでスペースキーを押します。 |
いつの時点に復帰するのか聞かれるので, 今日パソコンを起動した時刻を選んで「OK」ボタンを押します。 ←復帰作業はこのように進みます。 |
10分弱で復帰作業は完了しました。 OEを起動すると,あのウィルスメールはまだ受信されてません。 削除したはずのアドレス帳も元に戻っています。まるでタイムマシンみたい。 OEを終了してからLANケーブルをつないでTREND MICROのオンラインウィルススキャンをもう一度実行してみました。 もちろん,ウィルスは1つも発見されませんでした。すごい,完璧に元に戻ったのだ。(^o^)v 繰り返しますが,よい子は絶対にこんなマネをしてはいけません。 どうしてもマネしたい人は"自己責任"でやってくださいね。どうなったって僕は知りませんよ。 |