ウイルスに感染してしまった!

Webサイトから落としたオンラインソフトを実行したら,W32-CIHというウイルスに感染してしまいました。どうすればよいのでしょう?



まず,感染したウイルスについて知っておきましょう。W32-CIHは,最近被害が増えているウイルスで,ソフトメーカーのWebサイトにアップロードされているアップデートプログラムや雑誌付録のCD-ROMに感染するなど,現在,最も注意すべきウイルスの一つです。
 W32-CIHは,W32-CIH-SPACEFILLERという名称のファイル感染型ウイルスです。EXEの拡張子を持つWindows用32ビット実行ファイル(PE型実行ファイル)に上書きで感染するため,「PE-CIH」と呼ばれることもあります。
 感染したプログラムを実行すると,メモリ上にウイルスが常駐します。その後,ほかのPE型実行ファイルにアクセスするとそのプログラムにも感染していきます(実行しなくても,エクスプローラなどでPE型実行ファイルのアイコンを取得したさいにも感染してしまいます)。
 W32-CIHはメモリに常駐するさい,VxDとして動作するので,Windows 95/98マシンのみに感染します(VxDを使用しないWindows NTマシンには感染しません)。また,EXEでも16ビット実行ファイル(NE型実行ファイル)やDOS実行ファイルには感染しないことが判明しています。
 W32-CIHに感染してもファイルのサイズは変化しません。そのため,注意していてもなかなか見つけにくく,感染先が広がりやすい原因になっています。
 W32-CIHは'98年6月に台湾で発見されました。現在4種類のバージョンが確認されています。

●Ver.1.2型
 システムに感染後,毎年4月26日にHDD内のデータを無意味なゴミデータで上書きし,内容を消してしまいます。

●Ver.1.3A型/B型
 システムに感染後,毎年6月26日にHDD内のデータを無意味なゴミデータで上書きし,内容を消してしまいます。

●Ver.1.4型
 システムに感染後,毎月26日にHDD内のデータを無意味なゴミデータで上書きし,内容を消してしまいます。

 これに加えて,Intel 430TXチップセットをベースにしたPCでは,HDDの内容を消去すると同時にFlash BIOSを書き換えようとします。BIOSを書き換えられたPCは(メーカー修理などでBIOSを復旧しない限り)二度と起動できなくなります。

 このウイルスは,26日が発病のキーワードになっているので,26日がくる前に対処することが必要です。
 ここでは,ケースごとにこのウイルスの対処法を紹介しましょう。

●ケース@ウイルス対策ソフトを常駐させている場合
 常駐しているウイルス対策ソフトによって存在が確認された場合,おそらく最初の感染時に発見したはずです。可能であれば,その場でワクチンソフトを使って駆除してしまいましょう。
 感染したファイルが市販アプリケーションだった場合など,安全なマスターディスクを持っているならば,感染したファイルだけを削除してマスターからそのファイルだけを書き戻すという手もあります。

●ケースAウイルス対策ソフトが常駐しておらず,ウイルスチェック機能で発見した場合
 このケースでは,発見したファイル以外にもW32-CIHが感染している可能性があります。システムが起動できたということは,発病はしていないはずです。いったんPCをシャットダウンします。
 ウイルスに感染していないPCで(職場のPCを利用したり,知人などにお願いしましょう)ウイルス対策ソフトのフロッピー起動ディスクを作成します。二次感染を防ぐために,必ず書き込み不可状態にして,フロッピー起動後,ワクチンソフトを実行して駆除しましょう。ウイルス定義ファイルは常に最新のものにしておきましょう。

●ケースB発病してしまった場合
 運悪く,W32-CIHが発病してしまった場合,HDDのデータはすべて消えてしまっています。こうなると,システムの再インストールを行い,復旧することになります。
 フロッピー起動を試してみて,起動できる場合は,いったんHDDを初期化してWindowsを再インストールします。もしも,フロッピー起動もできなかった場合は,BIOS自体が破壊されています。BIOSの内容を書き直すか,BIOS ROMを交換するしかありません。これは,マザーボードメーカーによって変わってきますので,それぞれのマニュアルを見るか,メーカーに問い合わせてください。
 BIOSが修復されたら,フロッピー起動を行ってシステムの再インストールを行います。

 いずれのケースも,システムの修復後,最新のウイルス定義ファイルを導入したウイルス対策ソフトで入念にチェックを行ってください。
 ウイルスなどに代表されるPC上のデータ破壊に関しては,完全な対策は難しいものがあります。最新のウイルス対策ソフトを使用していても,まったく未知の最新型ウイルスに対しては危険であることに変わりはありません。
 重要なデータは,その都度バックアップを取る,信頼できる筋のプログラムしか使用しないなど,ユーザーが注意して予防に努めることが大切です。
 運悪く,ウイルスに感染してしまった場合は,被害の拡散や再発を防止するために,情報処理振興事業協会(IPA)内のセキュリティセンターに届け出をしなければなりません。セキュリティセンターは,ウイルスや不正アクセスによる被害,暗号アルゴリズムのセキュリティなどに関する情報を管理する政府関連機関です。
 また,ここにはコンピュータウイルス110番という電話による相談窓口も用意されています(TEL03-5978-7509。平日10:00〜12:00,13:30〜17:00)。ウイルスに関連した質問などはこちらに相談することをお勧めします。
セキュリティセンターURL:http://www.ipa.go.jp/SECURITY/index-j.html
届け出先E-mail:virus@ipa.go.jp
(小西晃治)