Skype Blogs

“w32/Ramex.A” （後にFSecure はW32/Skipi.A、Symantec はW32.Pykspa.Dと命名）というSkype for Windowsユーザに感染の恐れのあるウイルスが発見されました。感染すると、他のユーザへリンクを含んだチャットメッセージを自動的に送信し、このリンクから他のユーザへ感染を広げるものです。

チャットのメッセージ自体には数バージョンあり、自然な口調で書かれているため、友人が実際に送っているものと考えてクリックしてしまう可能性があります。ただし、リンクをクリックし、リンク先のファイルをダウンロード、そしてそのファイルを実行しない限り、感染することはありません。

Skypeは、このワームに関してすでにアンチウイルスソフトウェアを提供する会社と連絡を取り合っており、ただちにワームの存続を絶ち、その影響を止めるためにアンチウイルスソフトウェアのアップデート中です。現在F-Secure、Kaspersky Lab、Symantecがすでにアップデートを終了し、このワームの感知および駆除に対応しています。

この手のワームのみでなく、すべてのウイルス対策に最も有効な、アンチウイルスソフトを常に起動し、またアップデートを欠かさず行うことをお勧めします。

以下、より技術的な詳細と駆除方法：

]]>チャットを送ってくる相手は、コンタクトの場合もそうでない場合もあります。チャットにはリンクが含まれており、「.jpg」という拡張子がついているものですが、実際にはウイルスファイルにリンクしています。 リンクをクリックすると「.scrファイルを実行してよいか」というWindowsの実行・保存ダイアログが開きます。このファイルはウイルスですので、保存・実行とも避けてください。

ファイルを実行してしまった場合、Windows PCはw32/Ramex.Aウイルスに感染します。このワームはSkypeのパブリックAPI（Application Program Interface）を使ってPCにアクセスします。

駆除には2つの方法があります。通常の方法と、技術的なことが大丈夫な人向けの方法で、後者で説明するコンピュータのレジストリーの部分は、わかっている方以外は触らないほうがよろしいかと思います。できればアンチウイルスソフトをダウンロードまたはアップデートし、コンピュータをスキャンしてワームを見つけ、駆除することを推奨します。

それでは上級者向けに。以下はワームを手動で取り除く方法です。

1. PCをセーフモードで起動。
2. regeditを起動。
3. 「HKLM/software/microsoft/windows/currentversion/runonce」へ移動し、「mshtmldat32.exe」を含むエントリーを見つけ、削除。
4. 「WindowsSystem32」ディレクトリで、以下のファイルを削除：
   wndrivs32.exe、mshtmldat32.exe、winlgcvers.exe、sdrivew32.exe
5. 「windows/system32/drivers/etc」へ。
6. ファイルホストを見つける。
7. ノートパッドで開き、ctrl+aですべてを選択したら、全エントリーを削除（これでアンチウイルスのアップデートが再開されます）、保存して閉じる。
8. PCを再起動。

英語エントリーはこちら。

アンチウイルスソフトを常にアップデートし、入手経路に関わらず、内容の不明なファイルは実行しないようにしましょう。