■autorun.inf: Worm.Autorun-1792 FOUND 06:03 autorun.inf: Worm.Autorun-1792 FOUNDを含むブックマーク CommentsAdd Star 検知ツール CLAMWIN Free Anti Virus Ver.0.95.3 (ウィルスDBバージョン:main 51;daily 10238) 感染メッセージ内容 J:\autorun.inf: Worm.Autorun-1792 FOUND autorun.infファイルに"Worm.Autorun-1792"というAutorunウィルス(ワーム)を発見したという内容です。 感染されたautorun.infの内容 "fcay.exe"という実行ファイル(プログラム)を、USB挿入時に実行するようにautorun.infに追記（感染）されます。 追記内容は下記参照。 [AutoRun] open=fcay.exe shell\open\Command=fcay.exe fcay.exeの内容 この、autorun.infに記載されている"fcay.exe"についてですが、今回このファイル自体はUSBにはコピーされていなかったので感染を広げることはなかったのですが、気持ち悪いので調べたところ、Prevxによると下記挙動をするEXE(実行ファイル)のようです。 どうやら日本で発症したもののようで、xvassdf.exe,ierdfgh.exe,revo.exeなどのkaba系統と同類のようです。 動作／病症 FCAY.EXE はPC起動時に特定のプログラムを実行するよう、レジストリに書き込む動作をします。 また、隠しファイルとして表示しないよう設定を変更し、隠しファイルを表示する設定にしても勝手に元に戻すため、いささか対応が面倒な一品です。 初回発見 Prevxによると、FCAY.EXE は2009/12/8に日本で初めて発見されたそうです。 ファイル名のエイリアス（亜種） FCAY.EXE は下記名前でも使われています: XVASSDF.EXE, AR.EXE, 58833993.EXE 感染されたautorun.infの駆除方法 ClamWinの[Tools]-[Preferenses]-[Infected Files]で[Move To Quarantine Folder]にチェックを入れて、感染ファイルを"Data\Quarantine\"フォルダに隔離する設定に変更します。 再度スキャンを実行すると感染ファイルを"autorun.inf.infected"とリネームして隔離フォルダに隔離してくれます。当然ですが、その場合はUSB挿入時の自動起動はされなくなります。 隔離後、"autorun.inf.infected"を削除します。 もちろん該当するファイル、"autorun.inf"と、存在するならば"fcay.exe"などを、手動で駆除（リネームや削除を）してもかまいません。 一度駆除したのに、再度スキャンして再発しているようであれば、fcay.exe,xvassdf.exe,ierdfgh.exe,revo.exeに感染している可能性があります。 ※参考文献：”My computer has been compromised, what do I do?”