昼休み、とある省庁に関するニュースサイトを巡っていた職場の清純派の女の子が、「ウイルスが見つかったので駆除しますと画面に出てるみたいなんですが、駆除していいですか？」と言い出した。
　ウイルスバスターなら駆除する前に確認などせず事後報告するのが普通なので、これは怪しい。
　早速画面を見てみると、案の定、謎のアプリケーション「System tool」が起動して尤もらしいウイルス検出報告を並べ立てている。これはSecurity Toolの亜種だろう。



　タスクマネージャが使えなかったり、キー入力に応じて警告画面を次々展開してみせるあたりは全く状況が同じ。当該PCをネットワークから取り外し、復旧を試みることに。
　まず今回はウイルスバスターはそれなりの働きをしてみせた。
　この１セットのウイルス群のうち、感染元からローカルディスク上に展開を試みた複数のマルウェアのうち少なくとも２つは検出して駆除・隔離に成功している。残念ながら残ったマルウェアが発動してウイルス本体が展開することを許してしまったのだ。
　一旦PCをシャットダウンしてセーフモードで起動するとウイルスは始動せずに済んだ。ここでその時点でその端末が配信を受けていたエンジン9.205・パターンファイル7.849.80で全件検索を実施したが、新しい感染ファイルは何も検出されなかった。ウイルス本体は別の手段で駆除しなければならない。
　先のSecurity tool駆除でお世話になったMalwarebytes' Anti-Malwareを使用。公開中の最新版のインストーラで導入し、一時的にネットワークに復帰させて最新版のパッチをダウンロード適用。
　２時間ほどのFull scanでウイルス本体、残りのマルウェアやその他のウイルス構成ファイル、レジストリのエントリを検出、削除に成功。
　検出されたファイルの作成日がいずれも今日付けになっているのに気が付き、念のためExplorerで今日付けの.exe・.comを検索してみるとWindowsフォルダ等に怪しいファイルがまだ数件残っていた。プロパティシートもほぼ空白で素性が分からず、ウイルスの残骸と断定して手動で削除。
　その後数回の再起動と動作テストの結果正常に動作するのを確認し、復旧成功と判断。
　
※追記2011/03/03
　その後しばらくこの件は頭から離れていたが、ふと思い立ってこの女の子が当該PCで感染時にどのサイトを閲覧していたのか資産管理システムで調べた。すると原因は「中央日報」の2/22付け記事のひとつだったことが分かった。この記事ページが何者かに改竄されマルウェアを埋め込まれていた可能性が高い。
　女の子からのヒアリングと合わせて検討してみると、Googleニュースに接続して閲覧していたが、そこに自動リンクされていた当日の各ニュースサイト最新記事のひとつだった原因記事ページを表示した瞬間に、原因記事に埋め込まれていたマルウェアが発動し、System toolを送り込まれた…という筋書きになる。
　実際に原因記事を改めて表示してみると、さすがにその後改竄部分は訂正されたようだが、記事のコメントにはウイルス感染の危険を知らせるコメントが多く寄せられており、他にも犠牲者が多数いたものと思われる。