SystemCheckの驚異

最近、マルウエアの「Cystem check」が、猛威をふるっている。
名前からするとまるでWindoesの警告メッセージかのようであるが、実は完全なウイルスである。
実は私自身、異なるPCでこのウイルスに2度もやられるという大失態をしでかしたことがある。
2度ともWordPressの解説サイトを見ていた時に感染したのだが、WordPressの解説サイトは海外サイトにアクセスするケースが多いので注意が必要だ。
が、注意していても見ただけで感染してしまうので厄介である。
私の場合、セキュリティソフトはマカフィーだが、問題のサイトにアクセスした際、確かにマカフィーは反応したのだが(危険なので接続を切断する旨のダイアログが表示された)時既に遅しだった。
マカフィーに問い合わせたところ、この手のウイルスは食い止めようがないとのこと。
これを止めようとすると、インターネット全ての閲覧に支障が出るとの回答だった。
対策としては、AdbeReaderやAdbe Flash Playerや、Javaを常に最新のものにしておくことだが、私の場合、これらは常に最新のものにしていた。
にも関わらず感染してしまったので、もはや防ぐことは難しいのかもしれない。
 
最初の感染時
最初に感染した際、画面上に大量の小窓が次々と出現し、デスクトップ上のアイコンが消えていった。
※お見せできる画像がなかったので、下の画像は「ブログ禅」様から拝借したものです。
ブログ禅様、勝手に画像を拝借して申し訳ございません。
ご迷惑であればお問い合わせフォームからご連絡頂ければ、削除させて頂きます。
 ウイルス感染画面

メーセージを見ると、「ハードディスクをチェックしろ」的なメッセージだったので、マイクロソフトのシステムの一部だと思い、そのままOKした。
すると今度は、ありとあらゆるフォルダやファイル、アイコンが消えてしまった。
慌ててマカフィーのテクニカルサポートに電話をし、リモートコントロールで対処してもらったが、見えなくなったアイコンやフォルダは見えないままだった。
後から作成したフォルダやファイルは見えたので、Microsoft Officeやホームページビルダー等、よく使うやつを一旦アンインストールし、再度インストールしなおした。
後でわかった事だが、実はファイルやフォルダはなくなってしまったわけではなく、隠しフォルダ・隠しファイルにされてしまっていたのだが、それについてはご後述する。
 
2度目の感染
2度目の感染時は、やはり上と同じく無数の小窓が表示された。
この時は事情がわかっていたので、すぐに「システムの復元」で事なきを得た。
しかし、インターネットエクスプローラーの「お気に入り」と、マイドキュメントの一部のフォルダがやられた。
バックアップしてあった「お気に入り」を、そのままペーストするが、インターネットエクスプローラー側ではやはりお気に入りが見えない。
「エクスプローラー」で見ると確かにお気に入りは存在するので、ただ見えなくなっているだけだということが、この時初めてわかった。
そこで、見えなくなったフォルダを右クリックし、「プロパティ」を見ると、案の定「隠しファイル」にチェックがされているのだ。
チェックを外すとフォルダが無事見えるようになった。
 
インターネットエクスプローラーの「お気に入り」だけは、既存フォルダ内にお気に入りの追加ができない
ところが、なぜかインターネットエクスプローラーのお気に入りだけは、うまくいかない。
お気に入りは見えるようになったし、クリックすればちゃんとWebサイトにアクセスもできる。
ところが、既存フォルダ内に新しいお気に入りを入れようとすると、入れられないのだ。
例えば、「テレビ」という既存フォルダに「テレビ番組一覧」というサイトをお気に入りに入れようとすると、「”テレビ”に”テレビ番組一覧”を作成できません 原因不明の・・・」というエラーメッセージが出るのだ。
隠しファイルも外してあるし、ファイル管理の「エクスプローラー」ではちゃんと見えているのにだ。
 
応急処置として・・
応急処置として、エクスプローラー(ファイル管理用の)を使用して、お気に入りを全てコピペした。
するとコピペしたお気に入りは、新規に作成したフォルダ・ファイルなので、普通に書き込みができる。
フォルダ名やファイル名の後ろに「- コピー」とつくので、「- コピー」とついたファイルやフォルダ以外を全て削除する。
要するに元のファイルやフォルダを全て削除し、コピペしたものだけを残すのだ。
元ファイルを削除したら、それぞれのファイルやフォルダの上で右クリックし、「名前の変更」で後ろの「- コピー」を消していく。
これで元通りとなる。
これの仕組みは、ハードディスク内のある領域にあるお気に入りは、書き込みができなくなっているので、新規に作成したフォルダやファイルはその領域外となるので書き込みができるということなのである。
本来は書き込みができなくなっている領域を元に戻してやるべきなのだが、あまりPCに詳しくない人にはこのやり方で十分だろう。

ウイルスの削除・完全復旧について
SystemCheckを駆除する方法は、完全に感染してしまったか、それともすぐに気付いてシステムの復元で被害を最小限に食い止められたかによって違ってくる。
詳しいやり方は、マルウェア「SystemCheck」駆除手順に詳しく出ているので、参照頂きたい。
こちらのサイトでは、Trojan Killerというソフトを使って駆除し、隠しファイルも復元する方法が書いてあるが、完全に感染していないと隠しファイルの復元ができないらしいことが書いてある。その場合、わざと感染させてTrojan Killerで駆除する方法もあるらしいが、PCにあまり詳しくない人にはやはり抵抗があるだろう。
完全に感染していない場合、おそらく私のようにシステムの復元で、SystemCheckそのものの侵入は防げた場合だと思われる。
しかし、なぜか一部のフォルダやファイルは隠しファイルになってしまうのである。
特に真っ先にやられるのが、インターネットエクスプローラーのお気に入りのようだ。
ブラウザの脆弱性をついてやられやすいのだろうか?
実際にTrojan Killerを使って、SystemCheckがインストールされていないかどうかチェックしたが、何も検出されなかった。
マルウェア「SystemCheck」駆除手順にあるように、完全に感染していないので隠しフォルダや隠しファイルは復元できなかった。
ただ、私の場合、最小限の被害だったので、手動で元通りにした。
 
完全に感染していない場合の手動による隠しファイルの復元方法
 
Windows7の場合
①スタートボタン→コントロールパネル→デスクトップのカスタマイズ→フォルダオプション→「表示」タブ→「隠しファイル、隠しフォルダー、および隠しドライブを表示する」にチェックを入れ「適用」をクリックしてOKする。
 
②スタートボタンの上で右クリック→「エクスプローラーを開く」を選ぶ。
 
③隠しフォルダや隠しファイルがうっすらと半透明で表示されるので、半透明になっているフォルダやファイルを全て選択し(ShiftキーやCtrlキーを押しながら)右クリック→「プロパティ」を選び、「全般」タブの「隠しファイル(H)」のチェックを外す。

 フォルダのプロパティ
これでこのフォルダとその中にあるフォルダ・ファイルが元通りになるが、たまにフォルダ内の一部のフォルダやファイルが隠しファイルのままになっていることがあるので注意。
 
※上記はWindows7のやり方だが、その他のOSの場合、「隠しファイル XP」や「隠しファイル Vista」等で検索してみてほしい。
 
以上がSystemCheckで隠しファイルにされてしまった場合の対処法だが、SystemCheckに感染した場合、Trojan Killerやシステムの復元でもうまくいかないケースも報告されている。
私の場合、感染した2度ともWordPressの解説サイトだったので、WordPress解説サイトは注意が必要かもしれない。
※1回目は英語サイトで2回目は日本語サイトだった。