DropFileName = "svchost.exe" 問題解決策
事の発端はこうです。友人がソースコードを送ってきて、見てほしいと言われました。不注意でその中にあるexeファイルを誤ってクリックしてしまい、ネットワーク接続要求がポップアップ表示されたので、すぐに閉じました。その後、同じディレクトリにシステム音楽フォルダを装ったexe実行ファイルが追加されているのを発見しました。私は事態が良くないと感じましたが、確信は持てませんでした。その後、このフォルダ全体を削除しようとしたところ、「プログラムが使用中です」というメッセージが表示されました。
私はそれをそのままにして、しばらく放置しました。その後の2、3時間で、PCの応答速度がますます遅くなり、物理メモリの使用量が急増していることに気づきました。そこでPCを再起動しました。
その後、コードを書こうと思い、htmlファイルを開いたところ、大変な事態になっていることに気づきました。PC上のすべてのhtmlファイルに問題が発生していました(下図参照)。これで、ウイルスに感染したことが確実になりました。
そしてすぐに、間髪入れずに再び360をダウンロードし、PCのフルスキャンを実行しました(なぜ360をダウンロードしたのかは聞かないでください)。長期間ノーガードで使っていたPCなので、一度や二度、このような事態になるのは避けられません。
個別にテストしたところ、360はウイルスコードのみを削除し、ファイル自体は削除しないことがわかりました。しかし、一番下でコメントアウトされた部分は削除されません。結局、手動で再度処理する必要がありました。処理しなくても大きな問題はありませんが、強迫性障害なので、ちょっと辛いです( ╯▽╰)
コードの原理(作用):
このscriptコードはvbs言語のウイルスです。このウイルスに感染すると、ローカルのすべてのhtmlドキュメントを開いたときに、このような文字列が表示されることに気づくでしょう。htmlドキュメントだけでなく、dllドキュメントも感染します。もちろん、この種のウイルスは過度に心配する必要はありません。なぜなら、ファイル破壊の役割を果たすだけで、プライバシーのアップロードやアカウントの乗っ取りなどの危険性はないからです。
このコードの大まかな意味は、svchost.exeプロセスを見つけてデータを注入し、その後のバイナリコードを実行するというものです。このウイルスが他のウイルスと異なるのは、このvbsウイルスは感染力が非常に強いことです。htmlファイルが一度感染すると、ユーザーがhtmlドキュメントを開くだけでウイルスが上記のコードを実行し、ローカルPC上のすべてのhtmlファイルとdllファイルに直接感染します。
確かに、DLLファイルも感染するため、一部のソフトウェアは正常に使用できますが、ウイルス対策ソフトはウイルスを検出します。また、多くの常用ソフトウェアを実行するとウイルスが検出されることに気づくでしょう。例えば、以前よく使っていた迅雷や酷狗などの常用ソフトウェアを再度開いたときに、ウイルスがあると表示されたのです。当時、私は非常に奇妙に感じました。迅雷は公式サイトからダウンロードしたのに、なぜウイルスが検出されるのだろうか?ここでの理由は、vbsウイルスが迅雷などのソフトウェアのインストールファイル内のdllに感染したため、ウイルス対策ソフトがvbsスクリプトウイルスという名称でウイルスを検出し続けるのです。
ヒント:記事中の画像は宇宙人に連れ去られました