途上国の洗礼?USB link virus に感染してしまった:モロッコのウイルス対策について

2020年10月9日

こんばんは。日本ではあまり見かけることがないですが、途上国はコンピュータウイルスがとても蔓延しています。モロッコも例外ではなく、多くのパソコンがウイルスに感染しています。

その中でも非常に多いのがUSBメモリを介して広がるショートカットウイルス、別名LINK VIRUSです。今回はモロッコのコンピュータセキュリティ事情に加え、ショートカットウイルスに感染してしまった場合の症状と対策について解説していきます。

モロッコのPCセキュリティ事情はいいから、ウイルスの駆除方法を教えてよという方は、こちらへ飛んでください。

今回の記事の内容

  • モロッコのパソコンは海賊版のWindows 7、Windows XPがメイン
  • セキュリティソフトは入っていてもフリーのものか、定義ファイルが更新されていない
  • ショートカットウイルスは実害が少ない(そう見える)ので感染しても気づかない
  • ウイルスは大きく2種類あり、簡単なものはコマンド操作で削除できる

モロッコのPCセキュリティ事情

モロッコは海賊版が広く使われています。特にOSやOfficeソフトは正規版を入手するほうが難しいぐらいで、新品のパソコンを購入しない限り、海賊版OSが使われているとみて間違いないでしょう。中にはライセンスシールが貼ってあるにも関わらず、言語が違う(英語やスペイン語版などが入ってくる)という理由で、フランス語の海賊版を入れているケースも多く見られます。

加えてインターネット環境が整っている環境が少なく、OSの更新やセキュリティパッチの適用が行われないまま使われているケースが多いです。当然セキュリティソフトに対しての認識は低く、使われていてもフリーのものか海賊版(セキュリティソフトの海賊版って、、、)が使われていたりします。

さらに、使われているOSも最新のWindows 10が使われているのは少なく、使いやすいという理由で主流なのがWindows 7です。そして一部のパソコンではいまだにWindows XPが使われていたりします。

ウイルス感染し放題

これらの理由から、モロッコのパソコンはかなりの確率でウイルスに感染しています。Windows XPを使っている場合は、ほぼ確実に感染していますので使うのは避けましょう。

Windows 7を使っていても、ほとんどの場合、ウイルスに感染しているのでUSBを使ったファイルのやり取りは極力避けた方が良いでしょう。

どうしてもファイルのやり取りをしなければいけない場合は、書き込みロック機能のあるフラッシュメモリなどを使うと、感染を防ぐことができます。

アマゾンリンク

ショートカットウイルスの特徴と駆除の方法

そしてその中でも非常に多いのがフラッシュメモリを介して拡散するトロイの木馬、ショートカットウイルスです。このウイルスの特徴はUSBを接続した瞬間に感染し、USBメモリに存在するファイルをすべてショートカットに変換してしまいます。

ただし、ショートカットになったとはいえ、ファイルは問題なく開くことができるので、ほとんどの人は感染しても実害を感じられないため、そのまま使い続け、さらに感染を広げてしまうという悪循環に陥っているのです。

さらに厄介なのは、ショートカットに変換されてしまったファイルの原本は隠しファイルにされてしまうという点です。隠しファイルにされてしまうため、一部のセキュリティソフトなどでウイルスを駆除しても、隠しファイルはそのままのため、「セキュリティソフトがファイルを消してしまう」という誤った認識も広がってしまっているのです。

ショートカットウイルスへの対策

ほとんどのパソコンが感染してしまっているとはいえ、しっかりとセキュリティソフトをインストールしていれば防ぐことが可能です。

Windows 10の場合は、標準のセキュリティでも駆除できたと思いますが、安全のためセキュリティソフトを導入することをお勧めします。ESET Smart Security、Kaspersky Internet Security、Norton Internet Security、ウイルスバスターなど主なセキュリティソフトは対策されているので、これらを使っている方は定義ファイルをしっかりと更新しておけば大丈夫です。

感染してしまったUSBをセキュリティソフトのインストールされたパソコンに接続し、スキャンを実行すればウイルスは削除されます。場合により再起動が必要となりますが、その場合は手順に従って再起動をしましょう。

なお、これらのセキュリティソフトは基本的に「駆除」はできますが、前述したように隠しファイルにされてしまったファイルの原本は復元してくれませんので手動で復元する必要があります。

隠しファイルにされたファイルを復元

隠しファイルにされてしまったファイルを復元するには、隠しファイルの適用を解除すればいいわけですが、このウイルスは管理者としてファイルを書き換えてしまうため、通常の手順では隠しファイル適用を解除することができません。

コマンドプロンプトを管理者権限で起動し、コマンドを打つ必要があります。

手順はそこまで難しくありません。下記ステップに従えば、だれでもファイルの復元が可能です。

ステップ1.USBドライブのドライブレターを確認してください。(リムーバブルディスク(G:))とかなっている、アルファベットの部分のことですね。

ステップ2.スタートメニューからCMDを検索し、管理者として起動します。

ステップ3.コマンドプロンプトにステップ1で調べたドライブレター+“:”を入力します。例:G:

ステップ4.続いて、"attrib -s -r -h *.* /s /d /l“と入力し、Enterを押します。

なお、コマンド操作になれていない方のために、バッチファイルを作成していますので、必要な方はダウンロードし、使ってみてください。

使い方は、

  1. 隠しファイルが存在するUSBメモリにバッチファイルを保存
  2. バッチファイルを右クリックし、管理者として実行をクリック
  3. 手順に従って操作

これで隠しファイルが復元できるはずです。

セキュリティソフトがない場合の駆除方法

この記事をご覧いただいている方は、すでに感染して対処を検索されている方も多いかと思います。セキュリティソフトを導入すれば、駆除できますがネットワークの環境によってはダウンロードができない場合もありますので、その場合は下記手順を参考に削除してみてください。

なお、ショートカットウイルスには2種類あるようで(自分が確認した限り2種類)、より強力なウイルスは下記手順では駆除できませんので、手順通り実行しても駆除できない場合は、おとなしくセキュリティソフトを導入しましょう。

駆除するには大きく2つの作業が必要です。USBに感染しているウイルスの駆除と、パソコン側に感染しているウイルスの駆除です。

すでにパソコンに感染している場合、タスクマネージャーからウイルスを停止してから作業をしないと、駆除しても永遠と複製し続けるのでまずはタスクマネージャーで停止させることが先決です。

CTRL + ALT + DEL でタスクマネージャーを開き、プロセスの一覧からwscript.exe というプロセスを強制終了させてください。

次にUSBメモリからウイルスを削除します。

ステップ1.USBドライブのドライブレターを確認してください。(リムーバブルディスク(G:))とかなっている、アルファベットの部分のことですね。

ステップ2.スタートメニューからCMDを検索し、管理者として起動します。

ステップ3.コマンドプロンプトにステップ1で調べたドライブレター+“:”を入力します。例:G:

ステップ4.コマンドプロンプトに"del  *.lnk"と入力し、Enterを押します。

ステップ5.続いて、"attrib -s -r -h *.* /s /d /l"と入力し、Enterを押します。

これでUSBからウイルスが消えます。

次にパソコンからもウイルスを削除しましょう。こちらはちょっと大変ですが、ぜひ対処しておきましょう。

ステップ1.CTR + Alt + delで、タスクマネージャーを開いてください。

ステップ2.タスクの一覧に"Wscript.exe"がありますので、それを終了してください。

ステップ3.次にスタートメニューで「regedit」と入力し、レジストリエディタを起動します。

ステップ4.レジストリ一覧から下記レジストリまで移動してください。

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run

ここに、 “WXCKYz“, ” ZGFYszaas” “OUzzckky” “odwcamszas” といった項目が見つかると思いますので、それらを削除してください。

ステップ5.次にエクスプローラーを開き、アドレスバーへ"%temp%“と入力し、臨時(TEMP)フォルダを開いてください。

nkvasyoxww.vbs WXCKYz.vbs“, ” ZGFYszaas.vbs” “OUzzckky.vbs といったファイルがあると思いおますので削除してください。もしくは探すのがめんどくさい場合、"temp"フォルダ内をすべて削除しても構いません。

ステップ6.次に、C:\Users\<ユーザーネーム>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup へ移動します。

ステップ7.nkvasyoxww.vbs という名前のファイル、もしくは類似した.vbsファイルを見つけたら削除してください。

ステップ8.スタートメニューでmsconfigを検索し、スタートアップタブから、nkvasyoxww.vbs のチェックを外してください。

これでウイルスは削除できたはずです。ちょっと大変ですね。でも、ネット環境が不安定な途上国ではぜひ覚えておくとよいでしょう。