「W32.Whiter.Trojan」　症状と対策

• 症状：OS起動後(ログオン後）、HDDに激しくアクセス。デスクトップのアイコンが消えたり、使用中のソフトにアクセスできないというエラーが出る。フォルダのみを残して全ファイルが削除されている。ネットワークドライブに割り当てられている、LAN上のドライブも同じように削除される。OSを終了すると二度と起動しない。修復ソフトなどでファイルを復活させるとすべて33バイトになっており、事実上復活不可能。
  
  
• 原因： Whiterウイルス＝インストーラー等に仕込まれており、知らずに実行すると感染する。このウイルスが -next のコマンドライン引数で実行されると、ファイルサイズを0バイトにしたあと削除するため、フォルダのみを残し全ファイルが削除される。Adobe製品やLightwave、エロゲなど、感染源多数。
  
  
• 対策：インストールした後(必ずOSを終了する前)、レジストリの以下のキーを調べる。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  ここに
  • Whistler %System%\whismng.exe -next
  • Piracy c:\WINNT\System32\winsvc.exe -n
  といった記述があればすでに感染している。すぐにそのキーを削除すればよい。別の方法としては、システムフォルダ内にwhismng.exe（winsvc.exe）がないか調べる。あれば削除、もしくは別の場所に移動する。ただし名前を変えられるとこの方法は使えない。OSを再起動してからでは手遅れになるので注意。また、ノートン先生はこのウイルスを検出できるらしい(未確認)。
  
  
• 参考ページ　http://www.symantec.com/region/jp/sarcj/data/w/w32.whiter.trojan.html
  
  
• Whiter系は、再起動後削除、実行即削除、の2タイプがある。また、HDDをD:\から順番に消していくものと、全てのドライブを同時に削除するものがある。
  
  
• ファイル消去は、フォルダ名をアルファベット順に消していく（例：Adobe→My Documents→エロ画像→同人誌）、万が一に備え、重要なデータや個人情報はアルファベット順で後ろの方に移しておいた方がよい。
  
  
• 他ユーザー権限のファイルは消されない、他サーバにある共有フォルダも、ドライブとして認識させていれば消されてしまう（亜種にもよる）
• Whiterは上書き・消去タイプなのでファイル削除に時間がかかる。HDDへのアクセス音等で気が付いたら即電源を切れば、被害を最小限にとどめられる。

「条件付き電源off終了プログラム」

(c:\windows\system\whismng.exeがあれば電源offしない)
chkoff.batというファイルを（メモ帳などで）新規作成し、以下をコピーして下さい


@echo off
if exist c:\windows\system\whismng.exe goto ng
goto ok
:ng
echo ウイルスかも？電源offは中止した
goto bend
:ok
RUNDLL32.EXE Shell32.dll,SHExitWindowsEx 1
:bend


使い方はchkoff.batを起動するだけ。
見て分かるかも知れませんが
if exist c:\windows\system\whismng.exe goto ng
で c:\windows\system\whismng.exe があれば電源offしないだけ
（当たり前ですが他のウイルスには無防備です）

後はvbs使える人に任せる
（だって。BATなんてｶｺﾜﾙすぎる。これをプログラムと言っていいのかぁ？）

多分、w95,w98,meでは動作し nt,2000,xpでは動作しないと思う。

で、他にウイルスが増えた場合は追加すればｏｋです。
例えば「極悪ウイルス。c:\windows\gokuaku.dllがあれば感染」
なんて情報があれば

if exist c:\windows\system\whismng.exe goto ng
if exist c:\windows\gokuaku.dll goto ng
goto ok

という行を追加すればok.


　※ セキュ板スレ抜粋、872◆UqvWY3GQさんより

VBS版簡易チェッカ

VBScript で書いてみた。
テキストエディタにコピーして拡張子を vbs にして保存。
ダブルクリックで実行できます。
レジストリキーの
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
を調べます。再起動する前に実行すれば気休めにはなるかも。
----------------------
On Error Resume Next
Dim Troj, i, ret, flag
flag = False

Troj = Array("Whistler", "WinSvc", "Krn132")

Set WshSHell = WScript.CreateObject("WScript.Shell")

key = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"

For Each i in Troj
ret = WshShell.RegRead(key & i)
If ret <> "" Then
WScript.Echo i & " に感染中"
flag = True
End If
ret = ""
Next

If Flag = Flase Then
WScript.Echo "たぶん感染してません"
End If


※セキュ板スレより抜粋

ディレクトリを作って防ぐ

c:\windows\system\whismng.exe（c:\winnt\system32\whismng.exe）というディレクトリ作って、そん中に適当なファイル2,3個ほっぽりこんどきゃ防げるだろ

ファイル名が同じファイルは上書きできるけど、新規のファイル名と同じ名前のフォルダが存在するディレクトリには、新しくファイルを作成できないため。


ただし、亜種＆WinSvc.exe（Klez）には効果なし

※ セキュ板スレより抜粋