[感染すると何が起きるか]
今回実験に使った[PE_Nimda.A]は、感染後10日間程の潜伏期間があるようなので、最大の特徴である「感染メールの発信」の症状が出るまでには時間がかかります。
なので、「せっかくだから」感染したことによる諸症状を調べてみました。
・起動する度にテンポラリファイルが増える
まず一度起動したときの[C:\Windows\Temp]の状態がこうだとすると、
再起動して再び調べてみると、
このように[mep****.TMP]ファイルが増えているのが分かります。当然これはウィルスファイルなので、「ウィルスバスターオンラインスキャン」でチェックすると、
↓
このようになっています。
・[ワードパッド]が動作しない
ウィルスに感染する事により、[RICHED20.DLL]ファイルが上書きされます。そのため[ワードパッド]を起動しようとすると、
このように出て起動しません。
・起動時の設定が変更される
ウィルスに感染する事により、起動時の表示設定が「登録されているファイルの拡張子は表示しない」、「隠しファイルおよび隠しフォルダを表示しない」に設定されます。これはウィルスファイルを発見しにくくする為で、「すべてのファイルを表示する」等設定を変更しても、再起動時には「登録されているファイルの拡張子は表示しない」、「隠しファイルおよび隠しフォルダを表示しない」に強制的に変更されます。
・動作が不安定になる
感染後、「Windowsの終了」が、2回に1回は失敗するようになります。[RUNDLL32.DLL]が正常に終了しないのが原因のようです。
・システムファイルが改竄される
[C:\Windows\System.ini][C:\Windows\Wininit.ini ]の中に下記の一文が追加されます。
[System.ini]
[Wininit.ini]
このためパソコンを起動する度にウィルスが起動するようになります。
このように注意すると結構目に見える症状が表れますので、「ひょっとしたら」と思ったら、上記の項目を調べてみるといいと思います。