[ウイルスを観察してみる]USBワーム「WORM_AUTORUN.CC」:ITpro

grinさん経由

実際のウイルスの動きや確認方法(本当は自動だろうけど)を紹介されています。

これを自分たちで出来るようにならないとねw。怪しい場合は、TCPVIEW等のSysinternalツールが有効みたいですね。
そうそう、このTrendmicroのPCデスクトップをよく見て解析PCに入れているソフトを覚えておいたほうがよさそうですね。
AVToolsってなんだろうなぁ・・・

AUTORUNCC.EXEを実行すると表面上は何の表示もない。何の変化も起きていないように見える。しかし,Windowsのタスクマネージャで見てみると“AUTORUNCC.EXE”というプロセスが確かに存在し,ワームが活動中であることが分かる(図2)。ネットワーク通信を監視するツールであるTCPVIEWでネットワークの通信をチェックしてみると,ワームによる通信は行われていないことも分かる。

自動実行はやめておいて、やっぱりエクスプローラのフォルダ表示から開くのが一番みたい

エクスプローラの「フォルダ」を表示し,USBメモリーをオープンしてもワームが実行されることはなかった(図13)。USBメモリーを開くときはアイコンをクリックせず,エクスプローラのフォルダの表示から開いた方が安全であることが確認できた。

screenshot