人生で初のワーム被害に遭い、
ようやくと解決したので、その経過を記しておこうと思います。

2chでは「GENOウイルス」と呼ばれているようで、
その経過は書きませんが、たぶん同じものに自分もかかったのだと思います。

tmp_lkojfghxと書き込むウィルスに注意!

【感染症状】
まず、感染するとPC起動時にWindows XPの右下のアイコンが出なくなり、
全体的に異常な重さになります。
また、コマンドプロンプトも立ち上がらなくなるので、
自分がウィルスに感染したか判断する目安になります。

そして、一番厄介なのが、
感染状態のPCでレンタルサーバーなどにFTP接続してしまうと、
IDとパスワードを記録され、勝手にファイルを書き換えられてしまうということです。

phpファイルなどには、1行目に「tmp_lkojfghx」と書き込まれ、
htmlファイルには、javascriptで海外のサイトへdocument.writeするソースを書き加えられてしまいます。

そして、上記のファイルを見た人を感染させます。
これらが主な感染症状のまとめです。
以下、対策や解決方法を書いていきます。

感染状態でやってはいけないこと

絶対にやってはいけないことこれは、
サーバーやレンタルサーバーにFTP接続することです。

感染状態のPCでFTP接続をしてしまうと、IDやパスワードを記録されてしまい、
PCを起動していなくても、勝手にFTP接続されて、
サーバー上のファイルを書き換えられてしまいます。

私は、cronで毎日バックアップを取っていましたが、
それでもアップロード作業に労力を費やされました。

サーバーのファイルが書き換えられてしまったら、
まずはサーバーのFTP接続パスワードを変更し、
以降は同PCで絶対にFTP接続しないようにします。

パソコンを感染前の状態に戻す

重くて仕方のない感染状態のパソコンを復旧させるには、
OSの再インストールがベストであることは言うまでもありません。

しかし、ぼくのパソコンのリカバリーCDは、
既にどこかにいってしまっていて、それができませんでした。

なので、ベターな解決策として、システム復元で対応しました。
これでも解決できています。

一方で解決策にならないのが、ブラウザのキャッシュ削除です。
これでは、ウィルスも駆除できませんし、
FTP接続攻撃も回避できません。

セキュリティソフトの対応

使用しているセキュリティソフトにも寄りますが、
2009年4月末現在では、完璧にガードしてくれません。

感染した後に、トロイの木馬を発見・駆除してくれるようになりましたが、
PCが重くなったままですので、根本的な解決策にはなっていないのが現状です。

サーバー上のファイルを書き換えられていたら

FTP接続していない方やそもそもサーバー関連は関係ないという方は、
PCの感染さえ解決すれば良いのですが、
ファイルを書き換えられてしまった方は、まだまだ落ち着けません。

まず、正常な状態に戻したPCで、自分のサイトを確認してはいけません。
再び、あっさりと感染してしまいます。

なので、感染していない別PCでFTP接続(新パスワード)して、
ファイルを削除します。

そして、バックアップファイルをアップロードという形が良いでしょう。

こう書いてしまうとあっさりしていますが、
感染したPCでFTP接続した分だけ、
ワームによってファイルを書き換えられてしまうという事実に気がつくまでは、
感染範囲や原因がわからず、非常に混乱したものです。

tmp_lkojfghxと書き換えるウィルスのまとめ

今回の感染被害から得られた教訓としては、
ネットを見るPCとFTP接続をするPCは、
完璧に切り分けるということです。

これは非常に勉強になりました。
むしろ、自分だけの被害で済み、
学習できたということはラッキーだったかもしれません。
と、自分を元気づけています。

【関連している記事】