Windows 2000 serverがワームに感染してしまったようです。
その経過と削除の方法を書いておきます。
XPがもうすぐサポート終了ですが、今後サポートの切れたPCやサーバーがたくさん出てくると思います。全てのPCを新しく買い換えるというのは、極めて非現実的なことであって、残ったコンピュータをどう対策するかは、重要な問題になります。今回のウィルス削除の顛末が、その参考の一つになると考えています。
svchost.exeの暴走
少し前までのXPによく起こりましたが、server2000でsvchostが暴走し、CPUが100%に跳ね上がる現象が起きました。レスポンスが極端に悪くなり、フォルダを開くのも思うようになりません。XPの場合は、自動アップデートがネットワークを検索する時に度々それが起こり、最終的に自動アップデートを停止することで落ち着きました。xpのこの現象は、web上にも情報がたくさんあり、特にこの数ヶ月は悩まされたユーザーが多かったようです。
今回も同じ自動アップデートの暴走かと思いましたが、windows2000は既にサポートが終了しており、自動アップデートも停止してありました。また、XPの時と違って、タスクマネージャーでは、このsvchostを削除することもできませんでした。
Svchost Process Analyzer
様子がおかしいので「svchost 100%」で検索をして、ゆきついたのがこのSvchost Process Analyzerというsvchostの解析ツールです。紹介していたサイトは>>こちらです。
タスクマネージャーで、プロセスをCPUの使用量で逆順ソートすると問題のsvchostが上にきます。しかしsvchostはwindowsの基幹ソフトであり必ず複数動いています。従って該当するsvchostを動かしているプログラムが分からないと停止したり、削除することができません。その紐つきプロセスを解析、表示してくれるのが上記の解析ツールです。
このプログラムはインストールする必要がなく、実行するとすぐ解析をはじめ、detailでその結果が表示されます。今回の結果が上の画像です。
赤い三角の!マークが不明なsvchostを示しています。場所がおかしかったり、親プロセスが架空の名前だったりしています。明らかにウィルスと思われます。
MS Safety Scanner
まずは、古いwindows標準の削除ツール(mrt.exe)でスキャンしましたが、全く該当なしでした。何か方法がないかと思い、web検索をしましたが、windows2000はサポート終了という意味の記事やページばかりで、ツールを紹介しているページはなかなか見つけることができません。
いろいろキーワードを変えて検索した結果、たどりついたのが、@ITのページです。助かりました。というより何故こんな深いところまでいかないと見つからないのか、誰も必要としていないのだろうか、と不思議な気持ちになりました。マイクロソフトがサポートを終了したら、もうそのPCは危険だから、皆使わないようにしているのでしょうか。
MS Safety Scannerもインストールが必要ありません。ダウンロードしたexeを実行するだけで、スキャンのスタート画面が出てきます。クイックスキャンを選び実行しました。すると10数個のウィルスが見つかり、再起動も含めて削除することができました。
再起動時に「一つのプロセスが起動できなかった」というメッセージが出ました。例のsvchostの架空の親プロセスです。今回はunkebowy.dllという名前で、スタートアップのレジストリに書き込まれていました。この名前はランダムに作成していると思われ、web上ではヒットしませんでした。いずれにしろ、想定内のことなので、このメッセージは無視することにします。
Safety Scannerはオフラインの削除ツールです。そのため10日を過ぎると動作しなくなると記載されています。新しいSafety Scannerをダウンロードして使用することになります。
古いPCは全て捨てますか?
機能面で新しいPCやタブレットに買い換えてゆくことは悪くはありませんが、全ての古いPCを捨てるわけではありません。残ったPCやサーバーをそれなりに管理してゆくことも考える必要があります。そういう技術も知識もない企業や人達のためにクラウドが提供されつつありますが、クラウドにアクセスするのは、やはりPCやタブレットです。こわがってばかりいると、古いPCを山ほど廃棄しなければいけません。エコの時代におかしいと思いませんか。
PCメーカーやOSメーカーにも道義的な責任はあると思います。有料、無料にかかわらず、サポート終了後のセキュリティ対策の情報は、すみやかに提供すべきだと思います。
つづく……。
