REVO ウイルス対策

最近、USB メモリ(デジカメや携帯電話で使う SD カードや CF カードなども含む)経由で感染するコンピュータウイルスの感染事例が非常に多くなっています。特に REVO と呼ばれるウイルスは、ウイルス対策ソフトによる監視やスキャンをくぐり抜けるための様々な手段が装備されている、非常にタチの悪い物です。

この REVO ウイルスの概要と発見及び駆除の方法について、web 上で見つけた情報(参考文献参照)を以下にまとめ直します。

言うまでもない事ですが、このページにまとめた REVO ウイルス対策だけでなく、通常のウイルス対策も、しっかりと行なって下さい。

それって何者?

USB メモリなどの記憶メディア経由で感染するウイルスの一種です。 感染すると以下のような症状が発生しますが、症状が出ないこともあります。

このウイルスはウイルス対策ソフトのスキャンに引っかからないことがあるので、油断は禁物です。1台でも感染パソコンが見つかったら、その周辺のパソコン、データをやり取りしているパソコン(特に USB メモリでデータを持ち運ぶ先)、持ち主の自宅のパソコンなどにも感染している可能性が高いです。この場合、ピンポン感染を防ぐために、パソコンや USB メモリを一気にチェックして、一網打尽にする必要があります。

このパソコンは大丈夫?

通常のウイルスであれば、ウイルス対策ソフトでハードディスクや USB メモリを完全スキャンすると安心できるのですが、REVO ウイルスに関しては別の方法で確認する必要があります。が、感染の有無の確認はとても簡単です。身の回りの全ての Windows パソコンで、必ず試してみて下さい。

具体的には、以下の操作で隠しファイルを表示するように設定してみて下さい。この設定をしてみても、元に(非表示状態に)戻ってしまう場合は、REVO ウイルス(または類似のウイルス)に感染しています。

ただし病院情報システム端末については、医療情報担当が管理しておりますので確認は不要です。特に、2008/11 から順次配置している新しい端末では、ユーザ権限では確認操作ができません。もし、病院情報システムの端末で何か不審な点があった場合(USB メモリを挿したら警告が出た!等)は、医療情報担当(内線 7095)までご連絡下さい。

1. マイドキュメントを開く
「スタート」をクリックして、開いたメニューで「マイドキュメント」をクリックする。
2. 「ツール>フォルダオプション」を開く
メニューバーの「ツール (T)」をクリックして、開いたメニューで「フォルダオプション (O)」をクリックする。Vista の場合は、Alt キーを押すとメニューバーが現れます。
3. 「表示」タブをクリックする
「詳細設定:」欄の 10 行目くらいに「ファイルとフォルダの表示」という項目があります。ここで…
A:「すべてのファイルとフォルダを表示する」が選択されている場合
 → 感染の疑いは無さそうです。念のために感染予防策を打っておきましょう。(作業完了)
B:「隠しファイルおよび隠しフォルダを表示しない」が選択されている場合
 → 確認作業を続けます。
4. 「すべてのファイルとフォルダを表示する」を選択し、ウィンドウ下部の「OK」ボタンをクリックする。
この操作でウィンドウが閉じます。
5. 上記の 2. と 3. の作業をもう一度繰り返す。
再度「ファイルとフォルダの表示」の設定状況を再確認する。その結果…
A:「すべてのファイルとフォルダを表示する」が選択されている場合
 → 感染の疑いは無さそうです。念のために感染予防策を打っておきましょう。(作業完了)
B:「隠しファイルおよび隠しフォルダを表示しない」が選択されている場合
 → REVO ウイルスに感染しています! 大至急、下記「感染を発見したら」の対応を取って下さい。

その USB メモリは大丈夫?

USB メモリなどのリムーバブルメディア(デジカメや携帯電話で使う SD カードや CF カードなども含む)も、感染の有無を確認しておく必要があります。この確認は、下記の手順で行なって下さい。

1. Shift キーを押しながら、USB メモリを挿します。
USB メモリのフォルダを開いてしまうと感染します。自動で開かないように、必ず Shift キーを押しながら差し込んで下さい。
2. 「メモ帳」を起動します。
スタートメニューの「全てのプログラム」を開くと、「アクセサリ」の中にあります。
3. ファイルを開く操作をします。
「ファイル」メニューで「開く」をクリックし、ファイル選択画面を開きます。
4. 『autorun.inf』という隠しファイルを開いてみます。
マイコンピュータ内の USB メモリのドライブを開きます。ファイル名に『autorun.inf』と入力して「開く」ボタンをクリックします。そして…
A:「ファイルが見つかりません」エラーになる。
 → 感染の疑いは無さそうです。念のために感染予防策を打っておきましょう。(作業完了)
B:ファイルが開いた。
 → REVO ウイルスに感染しています! 大至急、下記「感染を発見したら」の対応を取って下さい。
開いたファイルは、保存せずにそのまま閉じて下さい。

感染を発見したら

何はともあれ、パソコンをネットワークから切り離します。ネットワークケーブルを抜き、無線 LAN を OFF にして下さい。USB メモリの場合は、パソコンから抜いて「ウイルス感染」などと貼紙をしておきます。そして、医局(や所属組織)のネットワーク担当者(もしくはパソコン管理者)に状況を報告し、情報を共有して下さい。その後、ネットワーク担当者等による対応作業に協力して下さい。

なお、大学で使っているパソコンが感染していた場合、自宅や立ち回り先(他病院、他部局、他団体など)のパソコンが感染していることも疑い、感染確認や駆除作業を行なって(行なわせて)、再度のウイルス持込みの予防に努めて下さい。

(再)感染予防策

REVO ウイルスは、感染の際に『autorun.inf』という名前のファイルを書き込みます。なので、先回りして同じ名前のファイルを作っておくと、「同じ名前のファイルが既にあります」というエラーになるので、感染予防に多少は役立ちます(必ずエラーになるとは限りませんが…)。

C ドライブや D ドライブなど、存在する全てのドライブの直下に『autorun.inf』というファイル(中身は空でも何でも良い)を置いておきましょう。使用する全ての USB メモリにも同様の作業をして下さい。Word で作成すると .doc という拡張子を付けられてしまうので、メモ帳で作るのが便利です。

なお、ファイル名の一部(拡張子)が表示されない設定になっている場合があります。「このパソコンは大丈夫?」の 2. と 3. で使った「ツール>フォルダオプション」の「表示」タブの「詳細設定:」欄で、下から3番目くらいにある「登録されている拡張子は表示しない」のチェックを外し、常にファイル名全体が見えるようにしておきましょう。

ここからは、ネットワーク担当者やパソコン管理者向けの説明です。分かりにくい点などがありましたら、メディカル IT センター network 担当までご連絡下さい。

感染報告を受けたら

ピンポン感染による問題の長期化を防ぐために、関連するコンピュータや USB メモリへの対応を、一気にやってしまう必要があります。

上記のような感染報告を受けたら、医局内の全てのコンピュータの感染有無を、上記の手順でチェックして(させて)下さい。そして感染端末は、駆除作業が終わるまで使用禁止にして下さい。この際、口頭で伝えるだけではうっかり使ってしまう人が出るので、必ず該当パソコンに「ウイルス感染のため使用禁止!」といった貼紙をして下さい。

また同時に、医局内で使われている USB メモリや、問題のコンピュータで使用したことのある USB メモリについても、感染の有無を確認する必要があります。全ての USB メモリを一旦回収し、無事が確認されて感染予防策を講じた物を順次返却していくという手順を取れると、REVO ウイルスを撲滅しやすくなります。

そして医局内の感染状況を取り纏め、メディカル IT センター network 担当まで、メールで報告をお願いします(連絡先)。

パソコンからの駆除方法

ウイルスを完全に駆除するための最も単純かつ確実な方法は、OS の入れ直しです。ただ、REVO ウイルスの場合は以下の方法で駆除が可能です。レジストリの変更など危険度の高い操作も含まれていますが、大前提が OS の入れ直しであることを考えると、ダメ元でやってみる価値はあります。下記の方法でうまくいかなかった場合には、諦めて OS を入れ直す、ということになります。

0. 拡張子とファイルの表示設定を確認する。
一部のファイルを表示しない設定になっていて、ウイルスファイルを見逃す場合があります。「このパソコンは大丈夫?」の 2. と 3. で使った「ツール>フォルダオプション」の「表示」タブの「詳細設定:」欄で、最下部にある「保護されたオペレーティングシステムファイルを表示しない(推奨)」のチェックを外して下さい。
またファイル名の一部(拡張子)が表示されない設定になっている場合があります。同じ「詳細設定:」欄の下から3番目くらいにある「登録されている拡張子は表示しない」のチェックを外し、常にファイル名全体が見えるようにして下さい。
1. ネットワークから切離す。
ネットワークケーブルを抜き、無線 LAN を OFF にします。
2. 復元を無効にする。(XP の場合)
マイコンピュータを右クリックしてプロパティを開き、「システム復元」タブ内で「システム復元を無効にする」をチェックして OK します。Windows 2000 には、システム復元機能はありません。
3. IE のキャッシュをクリア
インターネットエクスプローラーを開き、「ツール>インターネットオプション」を開きます。「全般」タブの「インターネット一時ファイル」欄で「ファイルの削除」ボタンをクリックし、ポップアップウィンドウで「すべてのオフラインコンテンツを削除する」にチェックを入れて OK します。処理が終わったら、IE を閉じます。
4. スタートアップアイテムの確認
 Windows XP, Vista の場合:スタートメニュー内(Vista の場合は、さらに「全てのプログラム>アクセサリ」の中)の「ファイル名を指定して実行」で『msconfig』と入力して OK すると、「システム構成ユーティリティ」ウィンドウが開きます。「スタートアップ」タグ内に revo, mmvo, tavo, kavo という項目があったらチェックを外しておきます(パソコン立ち上げ時にウイルスを活動開始させる設定を OFF にする操作です)。ウィンドウは開いたままです。
 Windows 2000 の場合:「ファイル名を指定して実行」で『regedit』(レジストリエディタ)を起動し、以下の場所に revo, mmvo, tavo, kavo という項目があったら削除します。
5. セーフモードで起動
 Windows XP, Vista の場合:「BOOT.INI」(ブート)タブ内の「ブートオプション」から『/SAFEBOOT』(セーフブート)にチェックを入れて OK して、再起動します。ユーザ選択画面になった場合は、普段通りのユーザでログインします。
 Windows 2000 の場合:再起動が始まって、画面下部に「Windows を起動しています」というモノクロのバーが表示されたら F8 キーを押し、「セーフモード」を選択して Enter して下さい。
6. レジストリの修正
「ファイル名を指定して実行」で『regedit』(レジストリエディタ)を起動します。開いた画面で下記の3つの項目を探し、値を 1 にします。終了後はウィンドウを閉じて下さい。
7. C ドライブを『実行する』
「マイコンピュータ」には触ってはいけません(レジストリ設定が元に戻ってしまう)。「ファイル名を指定して実行」で『c:』と入力して OK すると、C ドライブが開きます。その後、一旦何かのフォルダを開いてから戻ると、隠しファイルが表示されるようになります。
8. 怪しいファイルを削除
最初にメモ帳で autorun.inf というファイルを開きます。もし開けたら、そこに書かれている = の後ろのファイル名を記録して下さい。そして、それらのファイルとともに、以下のリストと同名のファイルを探し、Shift キーを押しながら Delete で(ゴミ箱に入れるのではなく)完全に削除します。
9. システム関連フォルダを掃除
Windwos XP や Vista の場合には、まず「WINDOWS」フォルダの中の「Prefetch」フォルダに移動し、上記のリストと同名のファイルを全て完全削除 (Shift + Delete) します。また「UU.exe」で始まるファイルも完全削除 (Shift + Delete) します。
そして、システムフォルダに移動します。システムフォルダとは、Windows XP や Vista の場合には「WINDOWS」フォルダの下の「System32」フォルダ(つまり C:\WINDOWS\System32)、Windows 2000 や NT の場合は「WINNT』フォルダの下の「System32』フォルダ(つまり C:\WINNT\System32)のことです。
そして、ファイル名が以下の文字列で始まるファイル(つまり revo.exe, revo0.dll, revo1.dll 等です)を完全削除 (Shift + Delete) して下さい。
10. D ドライブなどの掃除
D, E などのドライブがある場合は、全てのドライブに対して上記の 7. と 8. と同様の動作を繰り返し、問題のファイルを削除する。(7. の操作では、c: の代わりに d: とか e: とか入れて下さい)
11. レジストリの修正
「ファイル名を指定して実行」で『regedit』(レジストリエディタ)を起動し、「編集>検索」を利用して kava, kavo, mmvo, revo というキーワードで検索します。値と一致したり、revo.exe 等のような exe ファイルの値を見つけたら、削除します。なお「次を検索」は F3 キーを押すだけでも OK。削除が終わったら、レジストリエディタを閉じます。
12. 通常モードで起動
 Windows XP, Vista の場合:「ファイル名を指定して実行」で『msconfig』(システム構成ユーティリティ)を起動し、「BOOT.INI」(ブート)タグで『/SAFEBOOT』(セーフブート)のチェックを外し OK する。そして再起動。起動後に出る確認画面は、チェックを入れて OK する。
 Windows 2000 の場合:普通に再起動すれば、通常モードに戻ります。
13. 再感染予防
C や D 等の全てのドライブの直下に、『autorun.inf』という名前のファイル(中身は空でも良い)を作っておきます。すると、ウイルスが感染する際に「同名のファイルが既にあります」というエラーが出るので、再感染の予防に役立ちます。
13. 確認
以上で駆除が出来たはずなので、もう一度感染の有無を確認して下さい。

USB メモリからの駆除方法

USB メモリの場合は、上記のうち D ドライブなどへの対応の場合と同様の手順になります。ただし、USB メモリのドライブ(大抵は E, F, G などだと思います)を開いてしまうとパソコンに感染してしまいます。手順に充分注意して、作業を進めて下さい。

1. USB メモリを接続します。
自動で開かないように、必ず Shift キーを押しながらパソコンに挿して下さい。Shift キーを押し損ねると感染します。
2. ドライブ名を確認します。
マイコンピュータを開き、何もせずに眺めてください。USB メモリが何ドライブになっているかを確認しますが、決してそのドライブを開いてはいけません。開くと感染します。
3. 「ファイル名を指定して実行」にドライブ名を入力(G: など)して OK すると、安全にドライブを開けます。
以下のファイルを探し、Shift キーを押しながら Delete で(ゴミ箱に入れるのではなく)完全に削除します。
4. 再感染予防
ドライブの直下に、『autorun.inf』という名前のファイル(中身は空でも良い)を作っておきます。すると、ウイルスが感染する際に「同名のファイルが既にあります」というエラーが出るので、再感染の予防に役立ちます。

問合せ

この記事に関するご意見ご要望、質問、情報提供など、もろもろのご連絡はメディカル IT センター network 担当までどうぞ。

Email: network(a)sic.med.tohoku.ac.jp
内線: 7504

参考文献

この文書にはオリジナルの内容はほとんどなく、以下の2サイトの情報を参考にまとめ直した物です。下記コンテンツを作成した t-hoso さんとサイバーコンシェルジュ株式会社に、深く感謝します。

Weblog of operation α: 【ウイルス】revo.exeという名のUSB経由感染型ウイルス(t-sono さん)
http://www.t-hoso.net/cgi/mt/2008/10/14/revoexeusb.html
REVO(revo.exe)ウィルスとは / revo.exe の駆除方法(サイバーコンシェルジュ株式会社)
http://www.cyber-concierge.co.jp/pc_tama/other/revo.html

その他の参考情報

ニュートラル・グッドな日常  USBメモリのウィルスの解析?
revo.exe の動作について調べた人の blog。
REVO.EXE, Prevx
revo.exe についてのデータ。
メディカル IT センター network 担当
network(a)sic.med.tohoku.ac.jp