AutoRun
手元で確認したものでは、
- インターネット上からウィルスの本体をダウンロード(AutoRunで実行されるのはダウンローダ)
- 本体を実行
- (多分)本体が
- 各ドライブにAutoRunの設定をする
- 作成するファイルは読み取り専用隠しファイルのシステム属性
- 隠しファイルを表示しないようにレジストリの設定を変更
- ウィルスとしての本来の動作を行う(キーロガー?)
こういった事を行っているらしい。
作られる autorun.inf ファイルの中身はこんな感じ。
実際は所々にアンチウィルス避けと思われるランダムな文字列が含まれてた。
[Autorun] open=virus.com ;shell\open=Open(&0) shell\open\Command=virus.com shell\open\Default=1 ;shell\explore=Manager(&X) shell\explore\Command=virus.com
Windows XPの場合、この状態ではドライブアイコンをダブルクリックしても、コンテキストメニューから開こうとしてもウィルスが実行されてしまうので、安全にドライブを開くには、ドライブ認識時のダイアログでフォルダを開いてファイルを表示するを選ぶか、エクスプローラのフォルダツリーからドライブを選択するかしないといけない*1。
そんな変わった操作を完璧に行うのは大変なので、レジストリでAutoRunを無効にしてしまった方が良いと思う。
亜種だらけでアンチウィルスソフトもあまり役に立たないようなので。