パソコン・ウイルス（スパイウェア・トロイの木馬）の仕組みと駆除方法

ウイルスを知る　- もっとも大切なこと -

ウイルス駆除を行う上で知っておきたい最も大切なことは「ウイルスとは悪意で作られた害のあるプログラム」ということです。そしてあくまでもプログラムなので、実行しない限りは無害です。たとえば Windowsに標準でインストールされているソリティアというゲームがありますが、クリックして実行しない限り、パソコンに保存されているだけです。クリックして実行することによってゲームを楽しめます。

それではなぜ？ 同じプログラムなのにウイルスに感染すると、自動的に他人へ迷惑をかけたり、パスワードが漏えいしたりするのでしょうか？ それはユーザーがクリックして実行しなくても、ウイルスが起動してしまう仕掛けが施されているためです。

ウイルスが自動的に起動する仕掛けとは？

ウイルスが自動的に起動するためには「レジストリのスタートアップに登録する」、「 Windows プロセスを悪用する」、「アプリケーションソフトを悪用する」、「その他」のどれかを行う必要があります。そしてウイルスが自動的に起動する仕掛けを知ることで、ウイルス活動のしっぽがつかめるようになり、手動による駆除が簡単になります。

なお、今回は手動によるウイルス駆除を試すのに必要な概要をご説明します。そのため詳細については、次回から項目ごとにご説明します。

1. レジストリのスタートアップに登録する

ウイルスが Windows のスタートアップに登録されていると、パソコンの起動とともに自動的に立ち上がるようになります。この仕組みを使うウイルスは多いです。また簡単な仕組みのため駆除も容易です。

ちなみにキーボードの「 Windows 」ボタンと「 R 」ボタンを同時に押します。「ファイル名を指定して実行」画面が開いたら、「 msconfig 」と入力します。「システム構成ユーティリティ」画面が開いたら、「スタートアップ」タブをクリックします。

たとえば Antivirus 2009 という偽セキュリティソフトなら、コマンドのところに「C:\Program Files\Antivirus 2009\av2009.exe」や「C:\Program Files\SAV\sav.exe」といった行が表示されます。そしてそのフォルダごと削除すれば、 Antivirus 2009 は表示されなくなります。

2. Windows プロセスを悪用する、その他

Antivirus 2009 をプログラムごと削除しても、感染状況によってはすぐに再発してしまうこともあります。なぜかというと、スタートアップ以外にもウイルスを自動起動させる仕掛けを設けることができ、違うウイルスが起動しているためです。そしてその違うウイルスが再び Antivirus 2009 をダウンロードするため、すぐに再発します。

ここでのポイントとしては「 Windows のスタートアップ 以外でも自動的に立ち上がる仕組みが構築できる」ということです。たとえばレジストリを改ざんし、Windows プロセスの winlogon.exe がウイルスファイルを使うように関連付けたり、lsass.exe に関連付けることによって、電源を入れるだけでウイルスが起動するようにできます。また Windows の一時ファイル、ドライバー、dllcache、その他に埋め込むなど。

なお、ウイルス感染によってこのような設定がされてしまうと、ウイルス対策ソフトでは駆除や検疫ができなくなります。これは Windows が使用中のプログラムを、ウイルス対策ソフトが横から割り込んで削除することができないためです。また手動で削除しようとしても Windows が使用中ということでブロックされてしまいます。ちなみにセーフモードで起動したり、レジストリを修正してその関連付けを無効にすると、削除できるようになります。

3. アプリケーションソフトを悪用する

上記まではパソコンの電源を入れるとウイルスが自動的に起動するケースですが、ある条件で自動的に起動するウイルスもあります。たとえばブラウザのアドオンに登録したり、ブラウザの一時ファイルに潜りこんで、インターネット閲覧中にだけ自動的に起動するといったケースもあります。このようにアプリケーションソフトの拡張機能などを悪用し、そのアプリケーションソフトを起動すると同時にウイルスも起動します。

ちなみにアドオンに登録されたウイルスはレジストリを修正し、本体を削除します。ブラウザの一時ファイルは「履歴の削除」を行って削除します。