mmvo.exe と格闘・・・まとめ
2008.5.9 くる太郎

【発見】

 ウィルスセキュリティZEROの警告メッセージがポップアップ表示されました。
 内容は「mmvo.exe がインターネットに接続しようとしてます。許可しますか?」
 許可せずそのままPCを継続使用。

 マイコンピュータを開き、Cドライブをダブルクリックしたところ、あたらしいウィンドウが開きました。
 それと同時にCドライブの隠しファイル・フォルダが表示されていないことに気が付きました。
 なにかしらでウィンドウズの設定が変わっちゃったのかと思い、フォルダオプションで「隠しファイルを表示する」に戻しましたが、動作は変わらず。
 もう一度フォルダオプションを確認すると「隠しファイルを表示しない」に戻っていました。

 それで先ほどの「mmvo.exe」が気になりネットで検索をかけ、ウィルスの仕業だとわかりました。

【対策その1 駆除作業】

 ネット検索で多くの対策記事がありました。下記の記事を参考に駆除作業を実施しました。
  mmvo.exe関連ウイルス - ex / url:http://d.hatena.ne.jp/aniota/20080209/1202582654

 ウィルス対策ソフトで「NOD32」が有効とあったので、駆除作業後に体験版をインストールしましたが、私の場合は効かず、再発しました。
 作業手順に見落しがあるかもしれないと思い、何回かやったのですが再発は停まりません。

 駆除作業の繰り返しの中で、ウィンドウズの起動時に「rb.exe アプリケーションエラー」というポップアップが出ていました。
 ちなみにmmvo.exeを削除せずに起動したときは「mmvo.exe アプリケーションエラー」というポップアップが出ます。

 「rb.exe」で参考にしたのが下記の記事です。
  IEでのドラッグ&ドロップで任意のファイルをインストールするウイルス
  url:http://internet.watch.impress.co.jp/cda/news/2004/09/06/4509.html

 ただし記事中でてくる「"RamBooster2"="%System%\rb.exe"」はレジストリーの中にはなく、「Backdoor.Akak」としてファイルが一つ検出されました。
 この時の「Backdoor.Akak」の値が「rb.exe」(もしくは「rbt.exe」記憶が曖昧です)。
 このファイルを削除。でも、やはり再発しました。
 この時点ではrb.exeは検索をかけてもファイル、レジストリともにひっかかりません。

 このウィルスは全てのドライブルートに「autorun.inf」と「****.bat」もしくは「****.com」といったファイルを作るのですが、私の場合は「autorun.inf」と「as.bat」が作られていました。
 またTemporary Internet Filesフォルダに「uu.rar」「uu.exe」「rbt.exe」、windows/system32フォルダに「mmvo.exe」「mmvo0.dll」「mmvo1.dll」が作られていました。

【対策その2 発症防止・・失敗】

 何回やっても再発するので「mmvo.exe関連ウイルス - ex」にあった、感染防止策をすることにしました。
 記事中には「autorun.infという名のフォルダをあらかじめ作っておく」とあったのですが、勘違いをしてフォルダではなく「autorun.infという名のファイル」をつくってしまいました。
 ファイルだとやはり再発しました。このダミーのautorun.infファイルを作成したときの状況は次の通りです。

  ・ダミーのautorun.infファイル作成
    => ダミーのautorun.infファイルは消され、かわりに nls9ynu2.cmd が作られた。
    *ダミーのautorun.infファイルは読み取り専用にしておきました。
  =>ダミーのnls9ynu2.cmdファイル作成
    =>ダミーのnls9ynu2.cmdファイルはそのままで、autorun.infとm.exeが作られた。
    *ダミーのnls9ynu2.cmdファイルは読み取り専用かつアクセスを禁止する設定にしておきました。

 この時点で発見から2日間、あきらめの心境をブログに書いたところ、中村友一さんからご自身のブログに解決のヒントがあるとコメントいただきました。

  中村さんのブログの記事:kavo・mmvoの駆除・予防・復旧
            url:http://techpr.cocolog-nifty.com/nakamura/2008/02/usbq83iwmgfbata_e848.html

【対策その3 発症防止・・成功】

 中村さんのブログ記事を読んでいく中で、ダミーのautorun.infはファイルではなくフォルダであることに気が付きました。
 各ドライブルートにダミーのautorun.infのフォルダ、system32フォルダにmmvo.exe、mmvo0.dll、mmvo1.dllのフォルダを作成しました。
 加えてwindowsフォルダに“rb.exe”のフォルダも作成しておきました。(なぜwindowsフォルダに作成したのか記憶がありませんが、これが功を奏しました)

 ウィンドウズを起動させ、ドライブやフォルダを開いたり閉じたりと様子を見ていました。隠しファイルが消えるという発症は抑えられています。

 しばらくすると、突然、windowsフォルダにダミーとして作ったrb.exeフォルダが勝手にオープンしました。
 これは何者かがrb.exeを起動させようとした結果です。Temporary Internet Filesフォルダを確認すると「rbt.exe(http://www.microsoftrb.com/ctt/rbt.exe)」が作られています。
 ただ、その後も様子を見ていましたが、どうやら発症は抑えられているようです。
 
rbt.exe、クリックで拡大

 何回かウィンドウズを再起動させ確認したところ、起動から7分〜8分でrb.exeフォルダがオープンします。
 msconfigでもスタートアップにはそれらしきものはありません。ファイル検索、レジストリ検索にもウィルス関連のファイルはひっかかりません。

 ただ、rb.exeフォルダがオープンすることで(ウィルス本来のrb.exeが起動しないことで)mmvo発症のシステムがとぎれて、発症が抑えられていると考えられます。

【対策その4 根本解決?】

 何者かが「www.microsoftrb.com」に接続してrbt.exeをダウンロードし、これがmmvoを発症させるようです。

 ウィルスセキュリティZEROのweb閲覧記録ではTemporary Internet Filesフォルダのrbt.exeの時間と同時刻にwww.microsoftrb.comに接続しています。
 インターネットオプションの「制限付きサイト」に“http://www.microsoftrb.com”を追加しても接続されます。

 何がwww.microsoftrb.comに接続をかけているのか、プロセスログが見られれば判るかもと思い、タスクロガーというソフトをインストールしました。
  ホームページ:http://www.geocities.jp/makikoh76425/indexf.htm
 シェアウェアなのですがサンプルプログラムでテキスト形式でログを見ることができます。

 毎回PCを立ち上げる時にタスクロガーを起動しログを確認しました。
 ウィンドウズ起動から7,8分後にIEが起動、その後1分以内に終了しています。
 (この時、IEのウィンドウはオープンしません。)
 毎回同様な動作です。やはり何がこのような動作を起こしているのかは、このログだけでは判りません。
 
プロセスログ、クリックで拡大

 次の手だてを考えながらログを眺めていると、この動作の後に「B41346EFA848.EXE」という怪しいアプリが起動していることに気づきました。
 やはりこれもTSPY_LEGMIR.AYNというウィルスが作るファイルでした。
  ・windows/helpフォルダ内の「B41346EFA848.exe」と「B41346EFA848.dll」を削除。
  ・レジストリの改変もあり、以下のレジストリキーを削除。
    HKEY_CLASSES_ROOT\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32

 結果的には、これでmmvoの対策としては終わったようです。
 B41346EFA848.exe、B41346EFA848.dllとrbt.exeとの関連が説明できないのですが、発症しなくなりました。
  ・ウィルスセキュリティZEROのweb閲覧記録で、www.microsoftrb.comへの接続が無くなった。
  ・プロセスログで、ウィンドウズ起動から7,8分後のIE起動、rbt.exe起動が無くなった。
  ・Temporary Internet Filesフォルダに、rbt.exe(http://www.microsoftrb.com/ctt/rbt.exe)が
   作成されなくなった。
  ・ダミーのrb.exeフォルダが勝手にオープンしなくなった。

 最終確認として、ダミーとして作成したrb.exe、autorun.inf、mmvo.exe、mmvo0.dll、mmvo1.dllのフォルダを削除し2日間ほど様子を見ましたが、mmvoの発症はありません。

【考察】

 以上の対策から発症のメカニズムを素人なりに考察すると以下のようになります。

  B41346EFA848.exe、B41346EFA848.dllが発症元(腑に落ちないのですが)
  =>rbt.exeをhttp://www.microsoftrb.comからダウンロード
  =>rb.exeをwindowsフォルダに作成し起動。
  =>uu.rar、uu.batをダウンロード   =>autorun.inf、as.batを各ドライブルートに作成
  =>mmvo.exe、mmvo0.dll、mmvo1.dllをwindows/system32フォルダに作成
  =>mmvo.exeを起動
   ・レジストリのスタートアップにmmvo.exeを追加
   ・レジストリの隠しファイル表示関連キーの値を変更

 本当はわざと再発させて明確にしたいところですが、ウイルス関連ファイルを完全に削除してしまったため、できなくなってしまいました。

 感染源はメールの添付ファイル(zipファイル)と思われます。ファイル(ウィルスチェックをかけ異常なし)を展開してから発症したように思います。
 今考えると、怪しいファイルはいじるべきではなかったと反省しています。
 また、一般にはUSBメモリを介しての感染が多いようですが、少なくとも今年に入ってからUSBメモリによるファイル交換は行ってません。

【おわりに】

 今回、多くの方がmmvoに悩まされていることを知りました。また、発症のメカニズムが異なるものもあるようです。  私の場合も多数のケースとはちょっと違うと思います。
 完全解明にいたっておらず、また、わかりにくいレポートですが、少しでも役に立てばと思います。