【お知らせ】プログラミング記事の投稿はQiitaに移行しました。

Windows Updateを無効にするウィルス

ここ半年くらい自分の関係する範囲で、CPU使用率が張り付いてWindows Updateが無効になるという問題が頻発して悩んでいました。結論から言えばExpiroというウィルスの亜種が原因でした。

なお、似たような症状はサービスやドライバの不具合でも発生します。

使用しているウィルス対策ソフトウェアでは検出されなかったため原因を誤認し、ウィルスが原因だと気付くのに半年程度掛かってしまいました。同じ現象で悩んでいる方への情報提供として記事に残しておきます。

【注意】筆者はセキュリティの専門家ではありません。回答できるだけの知見もなく、ご相談には応じかねます。

症状

ウィルスが活動を開始すると、ローカルドライブやドライブマップされているネットワークドライブすべてに存在するEXEファイルを改竄して感染します。

CPU使用率が常時100%に張り付き、動作が非常に重くなります。マウスの動きがカクカクします。OSのプロセスや普段使用しているソフトウェアのEXEファイルに感染して動作するため、タスクマネージャで見ても怪しいプロセスは見当たりません。

Windows Updateが無効にされます。「(null)のソフトウェアについての詳細を確認します。」という意味不明なメッセージが表示されます。サービスを有効にしてもすぐ無効にされてしまいます。

f:id:n7shi:20160417132948p:plain

セキュリティーセンターが無効にされます。アクションセンターから警告が出ますが、有効にしてもすぐ無効にされてしまいます。

f:id:n7shi:20160417133140p:plain

Windows Defenderも無効になります。起動しても5秒ほどで何のメッセージもなく強制終了されます。

ウィルスが常駐して監視し無効にするようです。前述のようにウィルスはドライブに存在する全EXEファイルに寄生するため、タスクマネージャで見てもおかしなプロセスは見当たりません。

対策

AVG Technologies社によって提供されるExpiroに特化したツールで駆除できます。

ツールを起動するとスキャンが始まります。ウィルスがメモリに常駐していれば再起動を要求されます。再起動の際にログ出力のチェックを付けておくと良いでしょう。

ExpiroウィルスはOSやアプリのEXEファイルなど手当たり次第に改竄します。このツールではウィルスのコードを取り除いてくれますが、完全に元のファイルに戻るわけではありません。

システムの復元で感染前に戻すか、可能であればOSを再インストールすることが望ましいです。システムの復元を行った場合、ウィルス感染前かどうか確認するためもう1度このツールでスキャンする必要があります。

その他

ネットワークドライブにアプリのインストーラーを置いていた場合、ウィルスによって改竄されている可能性があります。それを使ってインストールするとウィルスが付いて来てしまいます。(面倒でもCDからインストールすることのメリットを認識しました。)

もし特定のソフトをインストールすることで症状が出るということが判明している場合、以下のサービスで setup.exe などをチェックしてみることをお勧めします。

数十種類のウィルス対策ソフトウェアで一斉チェックしてくれます。今回のケースでは検出率は半分程度でした。