Windows7のインターフェイスをいじってみる

世間がLionで盛り上がっているこの時期にWindows7いじりをしている。

このタイミングの外し方がなんとも。
Lionがなんぼのもんじゃい、オレだって欲しいわい・・・という古典的なボケはともかく今Lionを入れると間違いなくMS Officeが動かなくなるので、踏み切れないところ。
VMWare Fusion＋WndowsXPなどの環境があるので、別にOfficeのファイルをいじらなきゃいけない場面でも困らないのだが、Mac上にOfficeが無いというのが心細いので。

それでそのWindows環境のうち入れたばっかりのWindows7をほとんど活用していないので、なんとかしたいと思うのだが、Windows7を起動するたびにこの腫れぼったい画面を見ると何故かげんなりするんだなぁ。

何がいかんってやっぱりこのタスクバーかな、腫れぼったい印象は。
Macのドックといっしょで、邪魔としか言いようがない。
Macの場合はドラッグ一発で小さくできるので、私は最小化して使っているが、Windowsの場合はどうしたらいいか探していたらやはり方法はあった。

ほぼデフォで使っている（いない？）Windows7のデスクトップ
なんとなく腫れぼったいイメージは分厚いタスクバーのせいかもしれない
Macでもデフォのドックは邪魔だと思う

コントロールパネルに入って「タスクバーとスタートメニュー」に入る

タスクバーに入って「小さいアイコン」を選択、ついでに場所も「上」を選んでみよう

細くてスッキリしたタスクバーが上についてMacみたい？
というよりLinuxのGNOMEみたいなイメージか
Linuxユーザならこの方が使いやすいかもしれない

タスクバーのボタンを「結合しない」にするとタスクバー表示はXPに近くなる
これだけでも随分使いやすくなると思う
本当はMacに対抗してこういう部分もMSのアピールしたいポイントなのかもしれないが
やっぱりもうユーザがXPに慣れ過ぎてしまったと思う

さすがにタスクバーは下に持ってきたがこれだけでも随分XPとかけ離れたイメージが緩和される

ところでWindowsUpdateがかかってきたので小休止

これが噂に聞くMicrosoftのWindows Defenderかと早速立ち上げてみる

が、定義ファイルをアップデートしたところで「このプログラムは無効です」の表示
AVGを入れているのでふたつ動かすことができないというセーフティがかかっているらしい
まぁ、Windowsに関してはそうであるべきかもしれない

折角なのでフォルダオプションの設定もいじる

隠しファイルやシステムファイルなど隠す系の設定は原則外すことにしている
拡張子はデフォは隠す設定になっていたと思うけどこれも表示する設定に

次にフォルダオプションで「常にメニューを表示する」にチェックを入れる

Windowsのウインドウのメニューバーが美しくないと昔散々文句を言ったのに
見えないとなるとそれはまたそれで不便なのでメニューが見えるようにした
なんだかんだでやっぱりXPのインターフェイスに慣れてしまったのかもしれない

もうひとつ７の不便さはExplorerが階層を表示しなくなってしまったこと
オマケに「上の階層へ」ボタンが無くなってしまったので
自分が今どこに居るのかわからなくなってしまう

そこで同じフォルダオプションでナビゲーションウインドウの項目ふたつにチェックを入れる

するとExplorerの階層表示ができるようになった
これも美しくないと思っていたが無いとなるとそれはそれで不便
あと「上へ」ボタンは復元の方法はないかなぁと思う

WindowsXPなどのクライアントでFTP（IIS）を始める手順

しばらく前から古いOSXのMacをサーバに仕立ててWebサイトとFTPサーバとして稼働させています。

実は同じことがWindowsのクライアントOSのXPなどでもできます。

その手順をメモしときます。

と素っ気ない書き方になったのは、うまくいかなかったからだ。
何がうまくなかったのか今リサーチ中だが、とりあえず手順だけメモしとく。
ひょっとして仮想マシン上のWindowsだから？
でも仮想マシンでサーバOSを動かすのって今じゃ普通なんだけど。

コントロールパネルを開いてプログラムの追加と削除を開く
左ペインの「Windowsコンポーネントの追加と削除」をクリック

コンポーネントウイザードで何を追加するかを決める
Webサイト、FTPサーバ、メールサーバなどは
IIS（インターネットインフォメーションサービス）に含まれる
さらに何を追加したいかの詳細は右下の詳細ボタンで

デフォではメールサービスのSMTPにチェックが入っているが
メールサーバやる気がないなら外してもいい
FTPサーバやるんならその上のFTPにチェック

OKで抜けたらウイザードに戻って次へ進む

必要なコンポーネントをインストールするがあらかじめWindowsXPの
インストールディスクを用意すること
コンポーネントはその中にある

まれにコンポーネントはどこにあるか聞かれることもある
光学ドライブのi386を指定すれば問題ない筈だが
ピンポイントでファイルを指定してくるかも

インストール完了したらウイザードが閉じる

コントロールパネルの管理ツールをひらく
マイコンピュータを右クリックしても直に開ける

ここに「インターネット インフォメーション サービス（IIS）」
というショートカットができている筈

これを開いていって既定のwebサイトを選択すると上のツールバーに
プレイ・ストップ・ポーズボタンのようなアイコンが出ている
プレイボタンがグレーアウトしている状態がサービス開始している表示

実際のルートディレクトリの位置はCドライブ直下のInetpubフォルダの中にある
Webサイトはwwwroot、FTPはftproot、メールはmailrootというフォルダが
ルートディレクトリ、つまりwebに公開する最上階層になる

ここでファイアウォールの設定もやっとく
Windowsもサーバ運用するときでも基本個体のファイアウォールを
起動しておくべきと思っているのでコンパネのファイアウォールに入って詳細設定に
ここでさらにネットワーク接続の設定に入る

サービスでFTPサーバーにチェックを入れてコンピューター名と２１番ポートを確認

Webサービを開始ているならInternetExplorerでhttp://localhost/と打てば
スタートアップページが見える筈なのだが残念ながらこんな表示

これはfile://スキームで無理矢理開いたスタートアップページの様子
Apacheでいうところの「あなたの予想に反してこのページが見えているでしょうか？」
というあれと同じで設定が完了していればhttpでこんなページが見える筈

接続はNATとブリッジ両方試したけどダメでした。
Mac miniもMacBook Proも同じ症状。
ということは設定関係なのか、仮想環境という条件がダメなのか・・・
あと考えられる原因としてはルートボリュームのプロパティぐらいかなぁ。
なかなかすんなりと動いてくれませんわい・・・

Windowsのシステムのサイズを小さくしておく

先日Windowsの再インストールの認証回避の方法をここで取り上げたところ、BBSで「SakiPapa」様からWincloneという面白いWindowsボリュームのバックアップソフトを教えてもらった。
これの講評はあとで書くが、Windowsのシステムが入ったボリュームをバックアップするのであればそのサイズをできるだけ小さくしておきたいというのは、当然考えることだ。
そのことまで親切に「SakiPapa」様に情報をいただいた。

［運用］ Windows XP簡単ディスク・ダイエット術 11のポイント`IT
という記事を紹介いただいた。
ここにはWindowsのシステムサイズを小さくする１１の方法が事細かに書かれていて、これは役に立つ記事だと感じた。

私個人はフォントを削除したり、プリンタドライバを削除したりしてして数十メガずつスペースを稼ぐという方法は最近は好まない。
ディスクのバックアップスペースを確保するのにもう今はギガ単位でスペースを確保しなくてはいけない。なんせ最近のストレージはもうテラサイズだ。
そんな時に数十メガずつスペースを確保できても焼け石に水だ。数十メガのスペース節約を１０項目できたところで数百メガだ。

でもこの１１項目の中でいくつかギガ単位でスペースを確保できる方法もあった。

例えばハイパースリープを切る方法。
これがデフォルトでWindowsはオンになっていることが多いが（そのセッティングはベンダーの考え方でバラバラなのだが）、この設定がオンになっている場合、これをオフにするだけで実メモリサイズだけメモリバックアップ用のディスクスペースが節約できる。

MacBookの場合私の環境では実メモリは２GB積んでいるので、これだけで簡単に約２GBの節約になる。

また「システムの復元」というWindowsMe以来お馴染みの機能をオフるだけで、これまた２〜３GBのディスクスペース節約になった。
ここらはなかなかバカにならないスペースなので試す価値がある。

「システムの復元」をオフるとシステムに問題が起きた時どうなるかという問題はあるが、元々この機能を使ってシステムが復元できた記憶があまりないし、その復原機能をWincloneで実現するためにディスクスペースを節約したいわけだからこの機能は思い切ってオフにしよう。

エクスプローラで見たところWindowsXPの起動ボリューム「Cドライブ」の空き容量は15.5GB
これをできるだけ増やしたいという知恵が上記リンク先

そこでこれは私なりの方法だがコントロールパネルから
「システムのプロパティ」に入って「システムの復元」タブに入る
ここで「システムの復元を無効にする」のチェックを入れる

これだけで私の場合３GBのスペースを節約できた
復元は今後起動ボリュームごと復元するWincloneで
実行するのでこの機能はもう必要ないと判断した

他にも「電源オプションのプロパティ」の「休止状態」タブに入って
「休止状態を有効にする」のチェックを外すという方法もある
これでハイバネーションスリープに必要な実メモリ分のディスクスペースが節約できる
MacBookには2GBのメモリを積んでいるので節約できたディスクスペースは2GBになる

今回は試さなかったが他にも仮想メモリを制限するという方法もある
「システムのプロパティ」の「パフォーマンスオプション」に
入って「仮想メモリ」という項目を開くと仮想メモリの設定が可能に
カスタムサイズで初期メモリ、最大サイズが規定されている
これは実メモリの等倍または２倍程度とのことだったので
私はシステムがモタるのを嫌っていじらなかった
ここを1GBくらいケチってみるという手もあるかもしれない

WindowsXPのサービスを止めて軽量化が可能か？

ここしばらくWindowsの動作が重いという気がしていたので、システムの軽量化にトライしていた。
BBSに「AS」さんから情報をいただいたCCleanerとEasyCleanerはなかなか快調で、確かに軽くなった。
もうひとつ「AS」さんから情報をいただいていたのが、Windowsのサービスを止めるという方法。
これは、別のところでつとに聞いてもいたのだが「AS」さんの情報を得て実際に試すことにした。
ただし別のところで情報を得ていたのは「システムを軽くするため」ではなく「システムを安全に運用するため」という目的だったが。

停止したサービスの一覧は以下の通り。

Alerter 手動→無効

ClipBook 手動→無効

Error Reporting Service 自動→無効

Fast User Switching Compatibility 手動→無効

Help and Support 自動→無効

IPSEC Services 自動→無効

Messenger 自動→無効

Net Logon 手動→無効

NetMeeting Remote Desktop Sharing 手動→無効

QoS RSVP 手動→無効

Remote Access Auto Connection Manager 手動→無効

Remote Desktop Help Session Manager 手動→無効

Remote Registry （XPproのみ） 自動→無効

Server 自動→無効

Smart Card 手動→無効

SSDP Discovery Service 手動→無効

System Restore Service 自動→無効

Task Scheduler 自動→無効

Telnet （XPproのみ）手動→無効

Telephony 手動→無効

Terminal Services 手動→無効

Uninterruptible Power Supply 手動→無効

それに
DCOM Server Process Launcher
これについては詳細後述。

これらの停止する項目を選ぶ条件はそれぞれの個人の環境や使い方によって変わり、一概にこの組み合わせがいいとも言えないが私の場合はこういう項目を選んだ。

参考にしたサイトは

Windows2000／XPの主なサービス一覧

Windowsカスタマイズ - サービスを止める

サービスを色々と止めてみる - 重箱の隅

WinXP消してもいいファイルまとめ | 不要なサービスの削除

セキュリティ雑感- 「ダメパッチ」を研究者が指摘？

こういう情報が豊富にあるのは助かる。
いろいろ読んでみるとやはり「システムを軽くするため」というよりも「セキュリティのため」にこれらのサービスを止めるというニュアンスが強いようだ。
中には今ではあまり意味がないものもあるかもしれないが。

いろいろと勉強になりました、ありがとうございます。

やってみると目的が違うとはいえ、確かにWindowsXPは軽快に動くようになった気がする。

サービスを止める手順はここから
コントロールパネルから「管理ツール」に入る

その中の「サービス」というショートカットをクリックして起動

するとサービスの一覧が表示される
Windowsをフルにすれば説明なども読むことができる

それぞれのプロセスをクリックすればプロパティが現れる

ここで「スタートアップの種類」をプルダウンで選択する
「自動」「手動」「無効」が選べる
無効にしたサービスはその下の「サービスの状態」で停止してしまおう

もうひとつのサービスへのコンタクト法はスタートメニューの「ファイル名を指定して実行」

この検索フォームに「msconfig」と入力して検索

それで出てきた「システム構成ユーティリティ」でサービスをコントロールできる

「サービス」タブで不要なサービスのチェックを外す
「MSのサービスを全て隠す」で後らからインストール
したサードパーティ製のプロセスを区別することもできる

というところで、主だったサービスを止めることができるし、何を止めるべきかはそんなに議論がないかもしれない。

ただ少し迷ったのは「DCOMサービス」。
これは説明によると「MSの提唱した分散型アプリケーションサービス、DCOMとは，ネットワークを介してアプリケーションが連携動作するための仕組み」ということ。
無効にすると
「Win32: RPC サーバを利用できません」
というようなアラートが出る。

そう、これこそRPC-DCOMオーバーフローを起こしていた張本人、あのMSBlasterの感染を許していたサービスそのものだ。
DCOMサービスを止めるというのは２００３年頃にはかなり人口に膾炙した安全対策だった。
今でもこれを止めた方がいいのだろうか。

調べてみたが
DCOM Server Process Laucher
を止めた方がいいという記述は２００３年から２００５年のサイトにしかない。
今はもう古い対策なのかもしれない。

どなたかが書いておられたが、OutlookExpressのプレビュー機能を止めるのが安全対策だとか、今でもセキュリティの初級編講座サイトに解説が載っていたりする。
実はこんな対策は初期の頃のNimdaくらいにしか通用しないので、今では全く意味がないのだが、いまだにそういう解説が載っていたりする。
こういうのと同じような話かもしれない。

でもよくわからないものは止めておこうと思って、これも止めることにした。
効果はわからない。
意味はないかもしれない。
しかし今担当している専用機の下実験として、とりあえず何か障害が出ないかやってみることにした。

DCOM Server Process Laucherを止めようとするが
システム構成ユーティリティで止めることはできない

DCOM Serverの止め方はこうする
「スタート」ボタンの「ファイル名を指定して実行」で「dcomcnfg」と打って検索

コンポートネントサービスというWindowsが開いたらエクスプローラ風のディレクトリ表示で
「コンソールルート」、「コンポートネントサービス」、「コンピュータ」、「マイコンピュータ」
の順番で入っていって「マイコンピュータ」を右クリックしてプロパティを呼び出す

ここにDCOMサービスを有効にするかどうかの設定がある
ここのチェックを外す

設定を変更すると再起動を要求される

再起動するとこういうアラートが出て「システム構成ユーティリティ」で
デフォルト設定に戻すか聞いてくる
その気がないならチェックを入れて「OK」

これでDCOM Server Process Laucherを無効にすることができる
意味があるかどうかは不明だし不具合がないかは検証中だが今のところ問題ない
問題ないならこういうリスキーな設定は止めてしまいたい

WindowsXPのサービスを止めて軽量化が可能か？２〜＜追記＞やっぱりDCOMは止めちゃダメなのかも・・・

先日Windowsのサービスを止めて、システムを軽快化させる&セキュリティも向上するということにチャレンジしたが、さっそく不具合が出てきた。
勿論思い当たる節がある。

症状はシマンテックアンチウイルスのLiveUpdateが利かないというもの。
自動アップデートもかからないしシマンテックアンチウイルス・クライアントから手動アップデートをかけてもアップデートに失敗する。

サービスの管理ウインドウから「LiveUpdate」を選んでプロパティからサービスを起動すると１回はアップデートに成功する。
しかしもう一度シマンテックアンチウイルス・クライアントを起動してLiveUpdateをかけると、やはりまた失敗する。

シマンテックのアップデートをかけるたびにいちいち管理ツールを起動していられないから、なんとかすることにした。

調べてみると
LiveUpdate を実行すると「更新する製品がありません このコンヒ?ュータには LiveUpdate で更新できる製品がありません。」というエラーが発生する
というシマンテックのサポートページに、DCOMパッケージが欠落しているとLiveUpdateは機能しない旨がはっきり書かれている。

ということなので、DCOMの機能を一部元に戻すことにした。
こんなところにこのサービスを使っているアプリがあるということだ。
先日リンクを張ったリンク先にもDCOM Server Process Laucherについて、
「セキュリティ面の問題から、DCOMのサポートを無効にしている人も多いと思う。DCOM自体を停止させているのならこのサービスも不要に思われるのだが、InstallShieldなどの意外と身近なアプリが利用していることもあるのでサービス自体を消すのはあまりおすすめできない。」
ということが書かれていた。

なのでDCOM Server Process Laucherだけ元に戻すことにした。
結論を言えばこれでこの問題はクリアした。

シマンテックアンチウイルス・クライアントから手動アップデートを
かけるとこのようなエラー表示が出る
原因は先日停止するかどうか迷ったDCOMだ

LiveUpdateというサービスを管理ツールで起動して
アップデートをかけると１回だけ成功するが２回目からは失敗する
毎回管理ツールを起動しないと使えないんじゃ話にならない

自動にしてもどうしても安定しない
ここが原因でないことはもう明白だ

そこで調べてみたところシマンテックのサポートページの情報で
LiveUpdateはやはりDCOMに依存しているらしいことを突き止めた
問題はDCOM本体のサービスとDCOM Server Process Laucherの
どちらに依存しているのかということだ
DCOMを止めた状態のままDCOM Server Process Laucherだけを
元に戻して起動することにした

これでこのシマンテックアンチウイルスのLiveUpdateは機能するようになった
今回はこういう障害が出たがこの経験は今後の専用機の設定を考える上で大いに参考になった

Windowsでディープなデフラグを徹底的にやってみる

BBSに情報をいただいたが、先日ここでも取り上げた２０１０年２発目のマイクロソフト月一アップデートは、自動アップデートするとブルースクリーンを表示して二度とWindowsが起動できなくなる症状が頻発しているそうだ。
この件でフォーラムに投稿が何十万単位で殺到しているらしい。
幸い私のところでは、この症状は再現しないが、マイクロソフトさんも久しぶりに大ポカやらかしたかもしれない。

それはともかく、Windowsの動きを軽くするためにデフラグについて取り上げたところ、やはりBBSに
すっきり!! デフラグ
というアプリの情報をいただいて、これがなかなか使えるのではないかとここでも紹介した。

しかし一番ディープな
「チェックディスクの後セーフモードで起動して全てのディスクをデフラグ」
というモードを試していなかった。
今回やっとそれにトライできたので、その結果を。

結論からいうと全部完了するのにVMWare Fusion上のBootCampボリュームから起動したWindowsXPで７時間ほどかかった。
ディスク容量は32GB、使用済み領域は19GBというところだ。

これは休日にじっくり時間をかけて、やるのが吉。
リザルトを見ると確かにもう一段深いデフラグができた。
ただしリスクも大きいので、くれぐれも全領域バックアップがない人はやたらとこのデフラグをかけない方が良い。
でもバックアップがある人には怖いものはないわけだから、トライする価値はある。

すっきり!! デフラグは今回ウイザードモードでトライした
「チェックディスクの後デフラグ、自動終了」で始める

以下「全てのハードドライブを自動選択」「ごみ箱を空にする」
「テンポラリファイルの中身を全て削除する」「IEキャッシュを削除」
「不良セクタのスキャンをする」「セーフモード＋シェル入れ替え実行」
という最も危険だが効果が大きい組み合わせで進行する

この場合のディスクスキャンは使用済み領域だけでなく
空き領域も全てアロケーションチェックをするようだ
両方合わせておよそ６時間かかった

さらにセーフモードで起動してシェルからデフラグ
診断では１２％の断片化、２３％のファイルが断片化で
さほど深刻でもない気がするがWindowsの場合は
結構低い数字でも調子が悪くなる気がする

およそ７時間後にデフラグは完了
システムアクセサリのディスクデフラグで診断すると
ボリュームの断片化９％、ファイルの断片化１８％とやや改善した

今度こそVMWare Fusion／BootCamp上のWindowsXPをテッテー的に高速化するぞ〜今度こそ解決した・・・かな？

もうここに何度も書いているし、何度も対策をとり上げているがVMWare Fusion上で動かしているWindowsXP（BootCampボリュームにインストール）の動きが相変わらず遅い。

具体的にはVMWare FusionからWindowsを起動してからWindowsロゴが出るまでに数分、青画面になるまでに数分、青画面にログインパスワードを入力するフォームが出てきて入力できるようになるまでに数分、ログインしてデスクトップにアイコンが出てくるまでに数分、アイコンが出てから実際に使えるようになるまでに数分、合計１時間近い時間がかかる時がある。

しかもその間MacOSXの方は操作をしてから反応するまでに数十秒かかるという反応の遅さで、Safariにいたっては虹色ボールが回りっぱなしで、完全にフリーズしたようになってクリックすることもできない。

以前はこんなにひどくなかったのだがだんだんひどくなっていく。
少なくともMacBook＋VMWare Fusion２＋Leopard＋WindowsXPの組み合わせではここまでひどくなかったのに、なぜスペックが上がったMacBook Pro＋SnowLeopardの組み合わせでは激オソになるのか不思議だった。

さすがにこれでは仕事にならない。

これまでにもここで何度もこの対策を取り上げてきたが、どれもビミョーに効果はあるようだが決定的な改善になっていない。
そこでこういう記事に出会った。
Windows XPの起動時の長いディスクアクセスは、Windows Updateの履歴が溜まりすぎていたせいだった？！ - 全力HP

これを試してみたわけだが、結論からいうと一定の効果はあったものの、このVMWare Fusionが遅いという問題は複合的な原因だった。
以下解決の手順をキャプチャーで。

参考にしたサイトは以下の通り
あ！早い！と感じるWindows XP 高速化

OSXのtips1-10

VMware Fusion 2.0.1がやたら不安定 ＜ 突然消失するかもしれないブログ

（テメェのサイトも一つはいっていたりして）

まずはWindowsUpdateの履歴を削除する手順
普通はまずWindowsを起動しますわな

スタートボタンからコントロールパネルを開いて「管理ツール」を開く

その中の「サービス」というメニューをクリックする

OSのバックグラウンドで動いているサービスのリストが出てくるので
その中の「Application Updater」というサービスを選択して右クリック
プロパティを呼び出して図のボタンをクリックしてサービスを停止する

そしてWindowsUpdateの履歴を削除しに行く
場所はC:\WINDOWS\SoftwareDistribution
この中にあるDataStoreというフォルダをごっそり削除すればいい

履歴ファイルを削除したらまたコントロールパネルからサービス管理画面に入って
「Application Updater」を開始しておくこと

とここまでがWindows的な正しい手順なのだが
ブートキャンパーのマカはそんなメンドクサイことはしないのだ
BootCampのボリュームはMacからは丸見えなのでFinderから
問題の「DataStore」というフォルダを直接削除する
サービス停止の手間も必要ない

このTipsはデスクトップアイコンが表示されたあと延々とディスクアクセスして
なかなか操作できるようにならないという問題を改善する
VMWare Fusionでいえばここのところのディスクアイコンが
ずっとコンタクトしっ放しでなかなか操作できない
ここの時間は確かに改善できた

ここまではある程度の改善に繋がったが、根本的には変わっていない。
１時間かかっていた起動が５分ほど短縮されただけだ。
それで上記の
あ！早い！と感じるWindows XP 高速化

OSXのtips1-10
あたりを参考に、この際システムのスピードアップに繋がりそうなことは全てやってみることにした。
（またテメェのサイトを入れてるぞ）

スタートボタンから「マイコンピュータ」を右クリックで「プロパティ」をクリック

「システムのプロパティ」の「詳細設定」タブに入って
「パフォーマンス」の詳細設定ボタンをクリックする

「視覚効果」タブに入って「パフォーマンスを優先する」のラジオボタンをクリック

さらに「起動と回復」の設定ボタンをクリックして
修復オプションなどを表示する時間を５〜８秒程度に設定する
デフォはWindowsロゴを３０秒も表示する設定になっているがそんなに要らない
次にシステムエラーログを書き出してMicrosoftに
送信する鬱陶しい設定の下ふたつのチェックを外す

さらにその下の「デバッグ情報の書き込み」を「なし」に設定する
これで余計な情報をいちいちMicrosoftに言いつけに行かなくなる
そういう常駐サービスも殺すので若干高速化が期待できる

そしてさらにスタートアップアイテムをコントロールするのはここから
スタートボタンの「ファイル名を指定して実行」をクリックして
出てきた検索窓に「MSCONFIG」と入力、OKをクリック

「システム構成ユーティリティ」が起動してくるので「スタートアップ」に入る

ここにもいくつか要らないスタートアップアイテムがある
例えばWindowsのiTunesでiPhoneやiPodを同期しない人には
このiTunesHelperというスタートアップ項目は必要ないのでチェックを外す
MSメッセンジャーを使わない人はmsmsgsという項目は
要らないとかここにはいろいろ要らないものがある
それぞれ正体を見極めて外して行くが外すとまずいものもあるのでここは要注意

次回起動した時に「システム構成ユーティリティが変更された」というアラートが出る
チェックを入れてOKしないと毎回出てくることになる

それやこれやでデスクトップはこんな雰囲気になった
タスクバーがクラシック調になったりアイコン下のテキストが不透明になったり

どうせなら壁紙は「なし」にしてカラーバックにしてしまう

ついでにスクリーンセーバも「なし」にしてスリープもしない設定にした

弊サイトでも取り上げた不要なサービスを終了するTipsもこの際設定した
コントロールパネルから「管理ツール」の「サービス」を起動する
ここで不要なサービスを停止するが「Themes」というサービスの設定もいじる
「Themes」を選択して右クリック、プロパティを開く

スタートアップの種類を「自動」から「手動」に変更する

また「回復」タブに入って「最初のエラー」で「何もしない」を選択する

回復といえばつとにやっていた設定だがシステムリカバリを解除する
コントロールパネルから「システム」に入って「システムの復元」タブに入る
「システムの復元を無効にする」にチェックを入れて余計な復元ファイルを生成しなくする
Wincloneのディスクイメージのバックアップもあるのでこういうものは必要ない
ウイルスの温床にもなるし百害あって一利なし

これでWindows自体の環境はかなり軽くなった
見た目はWindowsMeというかWindows98というか「何だかなぁ」なミテクレだが
確かに起動も早くなったし起動後の動きもサクサクしてきた

今回はかなりテッテー的にやったので、Windows自体はかなり軽くなった。
後日書くと思うがちょっとしたトラブルがあって、BootCampからWindowsで起動する機会があった。
するとWindows環境は前とは見違えるほど軽くなって起動も早いし、サクサク動いている。
正直ここまでサクサク動くなら一部のヘボなWindowsネーティブマシンよりいいんじゃないかと思うほどだった。

しかしやはりVMWare Fusionから起動する場合は、確かに速くはなっているのだが全体としては前とそんなに変わっていない。
しかも起動中はMacOSX の側も虹色ボールが出まくり。

今回もあまり改善されなかったと思ったが、VMWare Fusionの問題と決めつけるのも違う気がした。
なぜならUbuntuやFedora、HAIKU OSを起動する時にはそんなにMacが凍り付いたりしないからだ。

そこで今度はVMWare FusionのWindows仮想マシンの設定を見直すことにした。
WindowsXPに割り当てる仮想メモリも以前、大盤振る舞いで1.5GBに増やしていたが、これも推奨の512MBに戻した。
割当メモリは多ければ良いというものでもなくて、この場合たくさん割り当てるとその分SWAPも大量に作るのではないかと思い、最初の推奨値に戻した。

さらにネットで調べていてこんな記述を見つけた。
VMware Fusion 2.0.1がやたら不安定 ＜ 突然消失するかもしれないブログ

こちらでも当方と同じようにVMWare Fusion2の重さと不安定さに悩んでおられたようだが、この記事の追記のところで
「→ VMware Fusionの設定で、NATからブリッジ接続にしたところMac OS X版のFirefoxが異常に重くなる現象は解消されたかもしれない。ひょっとすると、VMware FusionのNATと相性が悪いMac OS Xのアプリがあるのかもしれない。」
という記述を見つけた。

どうもこれがビンゴのような気がしたので早速試してみた。

VMWare Fusionのメニューから「仮想マシン」の「設定」に入る
「プロセッサとRAM」に入って1.5GBに増やしていたメモリを推奨値の512MBに戻す
これは多ければ良いというものではないということを知った

さらに「ネットワーク」タブに入って「NAT」になっていた接続法を「ブリッジ」に変更した

その結果VMWare Fusionの起動も速くなり
起動中MacOSX側も虹色ボール回りっぱなしということも無くなった

といってもこれまでも「今度こそ効果あったのでは？」
と言いながら期待はずれを何回も食らわされているので
Mac側とWindows側から強烈に負荷をかけてSWAPファイルも
作りまくって動作が遅くならないかテストしている
イマココ

でも今のところ結果はいいようだ
SWAP９つ５GB、一日起動しっ放しという状況でまだサクサク動いている
AppleのソフトウエアアップデートがWindowsには
意外に負荷が大きいということも今回知った

＜結論＞
今までWindowsのシステムを軽くするという方向でアプローチしてきたが、それ自体は無意味ではなかったと思うし起動後の動きは随分軽くなったので、意味はあったと思う。
見た目はいかにも事務用の機械のデスクトップになってしまったが、Windows環境なんて元々仕事用の事務機なのでこれで良いのかも知れない。

それよりもVMWare Fusionを起動中ほとんどMacOSX側が使い物にならなかったという問題も解決したし、起動に一時間かかるということも無くなった。

まだ経過観察中だが、今回はビンゴだった気がする。
このVMWare Fusionのネットワーク接続が「NAT」になっていたのがSafariとか他のMac側のProcessとコンフリクトを起こしていた可能性がある。

先日のWindowsスリム化以来WindowsUpdateがちょっと怪しかったのを解決した

ここしばらくVMWare Fusion上でWindowsXPが異常に重いという問題をやっと解決したという話は先日書いた。
VMWare Fusion／BootCamp上のWindowsXPをテッテー的に高速化するぞ〜今度こそ解決した・・・かな？

この中でWindowsUpdateの履歴を削除するというTipsも書いたのだが、それを実行すると以降アップデートがかからなくなるという問題が起きる可能性がある。

実は件のリンク先のサイトに最初削除すべきディレクトリが
C:\WINDOWS\SoftwareDistribution\DataStore
ではなく
C:\WINDOWS\SoftwareDistribution
と書いてあったためにそれを早のみこみして実行してしまった私の場合、これが原因になっているのではないかという心当たりがある。（後刻修正されたようだ）

もしもこれを実行して以降WindowsUpdateが正常に動いていないと感じたらこういう手順で解消できる。

もしもWindowsUpdateが正常にかかっていないと感じたら、
（第２火曜の月一アップデートにうんともすんともいはないとか）
とりあえずWindowsUpdateを起動してカスタムインストールの方に入ってみる

この中で一番影響がなさそうな奴をインストールしてみる
私の場合はWindowsMedia Player11を入れてみた

インストールが完了するとすぐにAutoUpdateが「最新の更新がある」と叫び始めた
今まで沈黙していたのはやはり異常だったということだ

私の場合はAutoUpdateは更新を知るためだけに使っていて
インストールはWindowsUpdateから手動でやっている

今回は.Netフレームワークのセキュリティパッチがかかってきた
これをインストールして安心していたのが今週明けの話

ところが今日になってドッとまたセキュリティパッチの団体さんがやってきた
月一パッチは今日だったのか・・・ということは先週のドットネットは緊急パッチだったのね

Windowsで誰にものぞかれない隠しフォルダを作成する

これは最近こちらで知ったWindowsの環境に他人にのぞかれないフォルダを作るというTips
パスワードつき隠しフォルダを簡単に作る方法 - ライフハッカー［日本版］

方法は以下の方法でバッチコマンド（Windowsのターミナルにあたるコマンドプロンプトで実行するコマンドスクリプトのことをWindowsではバッチというが、それをファイル化したもの）をBATファイルにする。

それを特定のフォルダで実行するとそこに作られたフォルダは消えて、最初に作成者が設定したパスワードがないと表示できなくなるというもの。

手順は以下の通り
１）Windowsのデスクトップかマイドキュメントかどこでもいいが、隠したいファイルを置く場所に新規でフォルダを作る
２）そこに右クリックから新規テキストを作成
３）このテキストを開いて以下のテキストをコピペする

cls
@ECHO OFF
title Folder Private
if EXIST "Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}" goto UNLOCK
if NOT EXIST Private goto MDLOCKER
:CONFIRM
echo Are you sure you want to lock the folder(Y/N)
set/p "cho=>"
if %cho%==Y goto LOCK
if %cho%==y goto LOCK
if %cho%==n goto END
if %cho%==N goto END
echo Invalid choice.
goto CONFIRM
:LOCK
ren Private "Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}"
attrib +h +s "Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}"
echo Folder locked
goto End
:UNLOCK
echo Enter password to unlock folder
set/p "pass=>"
if NOT %pass%== PASSWORD_GOES_HERE goto FAIL
attrib -h -s "Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}"
ren "Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}" Private
echo Folder Unlocked successfully
goto End
:FAIL
echo Invalid password
goto end
:MDLOCKER
md Private
echo Private created successfully
goto End
:End/

手順をキャプチャーでおさらい
好きな場所に好きな名前のフォルダを作成

このフォルダを開いて余白上で右クリック
「テキストドキュメント」を新規作成する

このテキストを開いて上記のバッチコマンドをコピペする
「PASSWORD_GOES_HERE」のところに自分の任意のパスワードを上書きする

保存したテキストの拡張子を「.TXT」から「.BAT」に書き換える
システムから「そんなことしていいんかい？」というアラートが出るが気にしないで実行

.BATファイルに変わるとアイコンがこういう歯車アイコンに変わる

このバッチファイルをクリックすると「Private」という新規のフォルダが生成される
消えるのはこのフォルダの方になる

この「Private」の中に隠したい物を入れておく

再びバッチファイルをクリックするとコマンドプロンプト
（Windows環境のTerminalという理解でいい筈）が起動してきて
「そのフォルダにロックをかけてもいいのか？」と聞いてくる
問題なければ「Y」キーを叩く

すると「Private」フォルダが消える

もう一度表示したい時にはまたバッチファイルをクリックする
すると「パスワードを入力せよ」というプロンプトが現れる

例の「PASSWORD_GOES_HERE」のところに上書きしたパスワードを入力

すると消えた「Private」フォルダが再び現れる

この方法は検証したところ、Windowsのフォルダオプションの「不可視ファイルやフォルダを表示する」や「保護されたシステムオペレーティングファイルを表示する」設定にしても表示することができなかったので、Windowsだけのネットワーク上で誰にも見られないフォルダを作って機密を守るとか、個人のPC の情報を守るとかの場合は非常に安全性が高い。

しかしWindows以外の、例えばMacとかLinuxとかのOSが入っている混成ネットワークの場合はこの隠しフォルダはほとんど機密性がない。

問題のWindows隠しフォルダをMac側から覗くとこの通り
パスワードも何も必要なく普通に中身が見えてしまっている
ネットワーク上にこういう隠しフォルダを置くならMacやLinuxなどの
異なるOS環境の端末が接続する可能性がないことを確認した方がいい

しかも例のバッチファイルはMacにコピーすると
Quicklookで難なく中身を見ることができてしまう
つまりこのTipsを知っているMacユーザにかかると
パスワードもチョンバレになってしまうということだ

Ghost Sphere

同じことをMacでやろうと思うならこのGhost Sphereがお薦めだ。

これは前にも取り上げたがMacの任意のディレクトリを不可視にしたり、プロ版にレジストリしたら暗号化ディスクイメージにしたりできる。

不可視にする原理はフォルダ名の頭に「.」をつけるという方法でFinderから見えなくする。
この方法ならネットワーク上のWindowsからも見えないので、Windows環境のみ不可視になるバッチファイルよりは機密性は高いといえる。
問題点はGhost SphereはMac版しかないという点と、この方法で隠したフォルダは例えばTerminalで
ls -a
なんてコマンドを打つと難なく見えるという点か。
というよりどんな環境からも見えないように隠すなんてこと自体が土台不可能なのだが、MacとWindowsという世界で使われている大部分のクライアントOSから隠せるなら、一般的には利用価値は高いと思う。

不可視になっているフォルダは管理権で中は見ることができないように設定されている。
これもrootのパスワードを知っている相手なら開けられてしまうが、バッチファイルをのぞけばパスワードが見えるというものでもないので、これもやや安全度は高い。

Ghost Sphereを起動する時にパスワードを要求される
これは管理者のパスワードだが初回起動のみ
「不可視フォルダを開く時のパスワード」の設定も要求される
これは管理用パスワードとは別でもかまわない

下のボタンの「＋」「−」で隠すフォルダを登録、太陽アイコンボタンは
隠したフォルダを「表示」、これが三日月アイコンに変わっている時は「隠す」
上のチェック欄の一番左は「起動時にフォルダを表示（隠す）」のチェック

このアプリはシェアウエアだが隠すだけなら無料でも機能制限なしに使える
この「１０秒待て」のデモ表示が出るだけの差だ

Finderに「不可視ファイルを表示させる」変更をするとこの通り隠したフォルダは見える
一応管理権で守られているが

管理者ならこのフォルダを開くことができるのでこれも万全ではない

それでも同じボリュームをWindowsから見れば一応隠されていて見えない

Autorunよけのファイルを外付けボリュームに自動生成するバッチファイル

そういえば昨年Autorun系のウイルスが猛威を振るったが、これの対処策として外付けボリュームに細工する方法を紹介した。詳細こちらの記事。
ウイルス騒ぎって子供の頃の颱風みたいにちょっとワクワク・・・（不謹慎）〜autorun.infまたはW32.Gammima.AGM/対策

Autorun系のウイルスというのは、Windowsの「AUTORUN」機能を悪用して自らのコピーをシステムの中にバラまくというワームの感染手順が特徴で、リンク先のように最初はオンラインゲームのパスワードを盗むGammimaというような他愛のないウイルスが始まりだったが、これがあまりにも成功したので他のワーム作者も一斉にこの手法をマネしてさらに凶悪なワームにこのAutorun感染能力を追加するということが昨年から今年にかけて大流行し膨大な数の亜種が発生した。

ピーク時には一日１０００件以上の新種ウイルスのパターンファイルが発行されていたから、これはこの方法がいかにウイルス作者に普通の方法になったか、そしてこれがいかに模倣するには簡単な方法かということの証だと思う。

このAutorun系のウイルスは多くの場合、USBメモリが感染の媒介になった。
だからこれが一番の注意点なのだが、本当はUSBメモリだけでなく外付けハードディスクとかCD-R、DVD-R、SDカードとか、iPodとかあらゆる種類のリムーバブルメディアが感染の媒介になる。

対策としてウイルスがこうしたメディアに侵入する時に必ず生成するファイルと同じ名前の空フォルダを作っておけばいい。
この時にWindowsの上書き禁止の「nokill.」ファイルを中に生成しておけばいい。
そうするとワームがそのメディアに侵入できないし、かいくぐって侵入できたとしてもエクスプロイトがアクティブにならないから勝手に感染されてメディアもパソコンもぼろぼろということは防げる。

この感染防止ファイルをワンクリックで、外付けメディアにバラまくバッチファイルをWindows専門の同僚に作っていただいた。
それをここに公開するので、使用する時は同じような手順で、これをテキストにコピペ、拡張子を「.BAT」に変更すれば 以下コマンドプロンプトに従って一気に処理できる。

これでAutorun系のウイルスの被害はかなり防げる筈だ。
USBメディアに散らばったダミーフォルダを一カ所のフォルダにまとめたりというような移動をしないことをユーザに徹底すること。
ダミーファイルを移動してしまうと、この対策は全く無意味になる。
使用に当たっての注意点はこれくらいか。

@echo off 
echo リムーバブルドライブに「autorun.inf」関係のダミーファイルを設置します。
set /p DRV="リムーバブルディスクのドライブレターを入力してください（例： D または d） >"
%DRV%:

label %DRV%: %USR%

cd￥
md Autorun.inf
attrib +H autorun.inf
cd autorun.inf
md nokill..￥

cd￥
md 8ot8y86.exe
attrib +H 8ot8y86.exe
cd 8ot8y86.exe
md nokill..￥

cd￥
md 6hbb9d1d.com
attrib +H 6hbb9d1d.com
cd 6hbb9d1d.com
md nokill..￥

cd￥
md 2yeyce82.exe
attrib +H 2yeyce82.exe
cd 2yeyce82.exe
md nokill..￥

cd￥
md 3g08.bat
attrib +H 3g08.bat
cd 3g08.bat
md nokill..￥

cd￥
md 3o32.bat
attrib +H 3o32.bat
cd 3o32.bat
md nokill..￥

cd￥
md 8e9gmih.bat
attrib +H 8e9gmih.bat
cd 8e9gmih.bat
md nokill..￥

cd￥
md 9rhtx.bat
attrib +H 9rhtx.bat
cd 9rhtx.bat
md nokill..￥

cd￥
md a0fr.bat
attrib +H a0fr.bat
cd a0fr.bat
md nokill..￥

cd￥
md agtlh8e.com
attrib +H agtlh8e.com
cd agtlh8e.com
md nokill..￥

cd￥
md as.bat
attrib +H as.bat
cd as.bat
md nokill..￥

cd￥
md bm.bat
attrib +H bm.bat
cd bm.bat
md nokill..￥

cd￥
md eipctcc.bat
attrib +H eipctcc.bat
cd eipctcc.bat
md nokill..￥

cd￥
md fudtnmje.bat
attrib +H fudtnmje.bat
cd fudtnmje.bat
md nokill..￥

cd￥
md o0s.cmd
attrib +H o0s.cmd
cd o0s.cmd
md nokill..￥

cd￥
md pq1o2ga.cmd
attrib +H pq1o2ga.cmd
cd pq1o2ga.cmd
md nokill..￥

cd￥
md q83iwmgf.bat
attrib +H q83iwmgf.bat
cd q83iwmgf.bat
md nokill..￥

cd￥
md uevr.cmd
attrib +H uevr.cmd
cd uevr.cmd
md nokill..￥

echo %DRV%ドライブにautorun.infのダミーファイルを設置しました。
echo.
pause
exit

上記テキストをWindows環境でテキストドキュメントにコピペ、
拡張子を「.BAT」に変更してバッチファイルを作る
この時に￥マークはエスケープできていないのでWindowsの方で
バックスラッシュに書き換えること（日本語環境だと英数の￥マークかも）
またコマンド案内の日本語も化けているかもしれないからその場合は打ち直してもらいたい

このバッチを実行するとUSBメモリや外付けハードディスクのなかに
「AUTORUN.INF」等のダミーフォルダが生成されその中身に
上書き禁止の「nokill.」が生成されるので多くの場合Autorun系のウイルスは侵入できない
よしんばペイロードを侵入させることができても引き金の「AUTORUN.INF」を
上書きできないので少なくとも自動感染はできない筈だ
ただし「片付け」とかいってこれらのダミーファイルを
一つのフォルダにまとめてたりされるとこの対策は無意味になる
ウイルス対策は「バカ対策」にはならないということだ

ネットワーク管理者に役立ちそうな情報を追加すると、このボリューム名に必ずユーザの名前をつけるとかして、端末のウイルス対策ソフトに外付けボリュームを自動スキャンする機能を設定しておけば、誰がUSB等を差したか特定できて、ウイルス感染が起きた時に、感染経路が特定できたりする。
これは対策上結構、有効な方法だった。

一律にUSBメモリを禁止してしまえば話は速いのだが、これはどこの職場でも必ず抵抗がある筈だからこういう対策も有効だった。

バッチつながりでちょっと思い出したので書いておく。

ワームAutorunが大噴出！〜この際徹底スキャンした結果出てきた出てきた！

先日高速化して動作が安定したと紹介したClamXavであれやこれやスキャンして大変な結果になった。

Autorun.infがあちこちから出てきた。

使ったのはこれ。

ClamXav1.1.1

このアプリはスキャン速度が飛躍的に向上したのであちこちかけてみた。
事の起こりはこういうこと。

会社の新システムが稼働前にウイルスに冒されてダウンしてしまった。
日本一厳しいセキュリティポリシーの元スタートする筈だったセキュアなシステムが、スタート前からぐだぐだという大失態だ。

徹底的にスキャンしたところ業者はAutorun系のワームが発見されたという。
発見されたブツから推測してUSBが疑われた。
そこでUSBメモリ禁止令が出ただけでなく、現状のオフィスで使っているパソコン、ストレージも検疫することになった。

それで今回は私もいつもはあまりやらないストレージのスキャンまで徹底的にやってみることにした。
私はMacユーザだし、基本的にはUSBメモリもMac同士でファイルをやり取りするのに使っているので、何も出ないだろうという予想していた。

さすがにMacの内蔵ディスクからは、テスト用のサンプル以外は何も検出しなかったが、自分の手持ちのUSBメモリをスキャンしたところ、話題の
Autorun.inf
が検出された。

これはちょっとショックだった。
Macユーザの油断だと言われれば言葉もない。
確かにWindowsユーザともファイルをやり取りすることもあるから可能性を考えるべきだったが、この２ヶ月ほどほとんど使っていない、しかもいつWindowsに差したか思い出せないようなUSBメモリからも検出されたのが驚きだった。
そこでさらに徹底的にスキャンすることにした。

ClamXavのスキャン結果
USBメモリの第１階層から「Autorun.inf」というマルウエアが発見された
これが今話題のUSBを媒介に自動的に自分の複製をどんどんコピーするワームの姿
Windowsセットアップスクリプトの形式をとっている

捕獲した「Autorun.inf」をサンプル置き場に隔離した
ClamXavはスキャンした「汚染ファイル」の拡張子の後ろに
.001という文字列を追加して無力化している
拡張子が変更されてしまえばWindows環境に移してもマルウエアとしての活動はできない
勿論Mac環境では無力化しなくても何も起こらない
これが最近のClamXavの新機能らしい

ところでもうひとつ問題が起きた。
これはFAT32でフォーマットされた外付けハードディスクのスキャン結果で、WindowsにインストールされたシマンテックのNortonアンチウイルスでスキャンしてAutorunはクリアになったにもかかわらず、同じディスクをMacOSXのClamXavでスキャンしたところ、Autorunが出てきたというケース。

こういうことがあると、世間で広くその効果が信じられているNortonアンチウイルスの実効性にも疑問がわいてくる。

Autorunは一般に思われているよりもはるかに広くあまねく、そこら中に感染しているのではないかという気がしてきた。

しかもこのAutorunのあった場所が実に巧妙というか、駆除しにくい場所にあってWindowsでこれを完全に駆除するのは、よほどの手練でないと無理なのではないかという気がした。

FAT32でフォーマットされたWindows用の外付けハードディスクを
WindowsXPのNortonアンチウイルスでスキャンした
TrojanPackedNという比較的危険度が低いトロイの木馬を隔離した
これでNortonアンチウイルス的にはこのディスクは安全な筈だった

ところが同じディスクをMacOSXのClamXavで
スキャンしたところAutorunが２件発見された
Nortonアンチウイルスで安全と出たから安全というわけではないという実例を突きつけられた

そのマルウエアの置いてある場所は
"/Volumes/(外付けHDDの名前）/System Volume Information/_Resource（任意の番号）/"
となっていてWindowsは勿論、MacのFinderからも表示することができない領域にある
しかもFinderを「不可視ファイルを表示」する設定にしてもこのディレクトリは表示できない
ここを開く方法は検索窓に「_Resource」と打ってディスク内の検索をかける
この「_Resource」はWindows独特の障害回復のためのデータ領域で
ここにコピーを潜ませて削除しても何度でもワームを復元するという悪質な機能を実現している

上記検索結果の「_Resource」を軒並み開いてClamXavが
指摘したファイル名と一致するファイルを目視で探していく
ファイル名も当然偽装していて自分から「Auntorun.inf」なんて
名乗ったりしてくれないので削除はなかなか面倒だ
これはWindowsの中級者程度ではクリアできないのではないだろうか

Windowsの中級者程度ではクリアできないのではないかと書いたが、実際ウチの会社の新システムも完全に初期化して再インストールということになってしまった。
上級者でも手を焼く問題らしい。
たまたまMacから見れば見えるので、何とかなるということだ。
Windowsを安全に使うためにMacで検疫するという本末転倒なことを真面目に検討しないといけない状況なのかもしれない。

それとやはりNortonアンチウイルスでこれを発見できなかったというのが衝撃だ。
実際にははるかにこのワームはそこら中に蔓延しているのではないかという気がしている。

「ノートン入れているから俺のWindowsとUSBメモリは感染していないよ」
と言っている皆さんのパソコンはかなり感染していると疑われる。

ところでClamXavで２テラバイトのXServeのストレージをスキャンした
以前だと気が遠くなるような時間がかかっていたが
ファイル容量１．４テラを４０分でスキャンした
これは実用的な速度になってきたというべきだ

ワームAutorunが大噴出！〜そこでAutorunの感染対策をすることにした（追記あり）

＜前回までのあらすじ＞
会社のシステムがダウンして、それ見たことかと勝ち誇っていたMac論者だったが、個人所有のUSBメモリからもAutorun.infが出てきてかなりへこんでしまう。
そこで少なくとも自分は媒介者にならないために、手持ちのWindowsで認識できるUSBメモリ、外付けハードディスクはすべてAutorun対策をすることに・・・

出ぇ〜た〜〜っ　ヽ(`Д´)ﾉ

ところで私のMacBookではBootCamp環境にWindowsXPをインストールしているので、ここには以前も取り上げたがAutorun対策をしていた。
今回手持ちのUSBメモリ、ストレージが感染していたにもかかわらずこのWindowsが感染していなかったのは、この対策のおかげと思われる。

ウイルス騒ぎって子供の頃の颱風みたいにちょっとワクワク・・・（不謹慎）〜autorun.infまたはW32.Gammima.AGM/対策

「颱風騒ぎのよう」などと不謹慎なことを書くから今回は罰が当たったのだと反省することしきりだが、今回はこちらのサイトを参考に外付けハードディスクとUSBメモリにも対策を施すことにした。

「Autorun.inf」ウイルスの予防注射 | Windows XPとVistaの裏技

一応リンクが切れた時のために転載しておく。詳細はリンク先を参照されたし。

手順は以下の通り。
１）まずストレージをMacから徹底的に検疫しておく。
WindowsのNortonアンチウイルスでは検疫漏れがあることは前回紹介した通りなので、必ずMacからもやっておく。（そうしないと以下のWindowsも感染する可能性がある）

２）Windowsを起動して「すべてのプログラム」／「アクセサリ」の中の「コマンドプロンプト」を起動する

３）そして以下のコマンドを入力。


cd\　と入力Enter。

e: と入力Enter。（ＵＳＢメモリなどのドライブレター、私の場合はeドライブだったのでeだが各自の環境によって違う）

md Autorun.inf と入力Enter。（ここでは「Autorun.inf」という名前のフォルダを作成）

cd Autorun.inf と入力Enter。（ここでは「Autorun.inf」フォルダに移動）

md nokill..\　(nokillドットドット円)と入力Enter。（ここでは「nokill」というフォルダを作成）

以上でWindows環境では上書きできない「Autorun.inf」という名称のフォルダがストレージ、メモリの第一階層にできる。
これでワームが何らかの環境で入って来ようとしても自分の分身をここに置くことができないので予防になる。

ただし、「ワームが従来と同じ振る舞いをするのならば」という条件がつく。
最近の亜種の増え方を見ていると、意味があるのかないのかよくわからないが可能性がある名前のフォルダは全部作っておいた方が良いように思う。

そのリストは以下の通り
「autorun.inf」
「2j.cmd」
「3u.cmd」
「ampfrb.cmd」
「hbs.exe」
「s2.com」
「w.com」
「q83iwmgf.bat」
「8e9gmih.bat」

「dt8.bat」
「em0x.exe」
「ju.bat」
「nm3osq.bat」
「88p9u9j.cmd」
「rdg.cmd」
「s9.cmd」
「ukmggpy.cmd」
「w.com」
「ju.bat」
「nm3osq.bat」
「r88p9u9j.cmd」
「rdg.cmd」
「s9.cmd」
「ukmggpy.cmd」
「xj8guf.bat
「f.exe」

これは大変だ！

Windowsのコマンドプロンプトを起動する
場所は「すべてのプログラム」／「アクセサリ」／「コマンドプロンプト」
MSのCUIはWindowsになってからは初体験だ

こんな感じでDOSっぽいシェル画面が現れる

いきなり最初のcd\コマンドでつまづく
Macのキーボードではなぜか「\」マークが入力できないのだ
そこでスクリーンキーボードを起動してマウスで入力した

かなりミスしたりしながらもなんとか入力を進めていく
今回Windowsのシェルは初体験なのだが実際使ってみると
UNIXのコマンドにかなり似ている
これは知らなんだ

最初のコマンドでeドライブ（USBメモリ）に入って
「autorun.inf」という名称のフォルダを作る

次のコマンドでその中に「nokill.」という名称のフォルダを作る
これでこの「autorun.inf」というフォルダはWindowsのGUIからは削除できなくなる

実際に削除してみたが「削除できません」のアラートで停まってしまう
これでワームはここにこの名称のファイルを上書きできなくなる

この「nokill.」というディレクトリはMacのGUIで見ると
容量OKBの正体不明なファイルに見える
しかも「情報を見る」を開くと本体が消えてしまう
FAT32のファイルシステムに依存した独特のファイル形式らしい

ちょっといたずら心で同じ手順をMacのGUIでやってみてWindows環境でどうなるか試してみた

これは簡単に削除できてしまうので予防注射にはならない
やはりWindowsのコマンドプロンプトを使ってやらないとダメだということだ
ところで上記のリストの数だけこの作業を繰り返すのは相当大変だ
時間が有る時にじっくり取りかかりたい

＜参考文献＞
jp-22186 --Windows Me/XP の「_restore」フォルダから何度もウイルスを発見してしまう-- | Windows Me/XP の「_restore」フォルダから何度もウイルスを発見してしまう [jp-22186]

できない、困って→問題解決- USBメモリに「q83iwmgf.bat」「autorun.inf」が一瞬現れて消えるウィルスに注意（追加：8e9gmih.bat、o0s.cmd）／kavo・mmvoの駆除・予防・復旧

享楽的書き散らしブログ　具体的にはゲームとか動画とか- ウイルス…だと….

WebDiary--autorun.infウィルスキタ━━━━(ﾟ∀ﾟ)━━━━ !!!!!(revo.exe AhnRpta.exe hbs.exe)

＜追記＞

この予防注射だが、Macから「Autorun.inf」という名称の空のフォルダを作っていれてやるだけでもある程度の効果はあるようだ。
ワームが同じ名称のファイルを上書きしようとすると、
「Autorun.infを上書きしてもいいか？」
というアラートが出て一応動作は止まるみたいだ。
ただ勝手に上書きされるスクリプトができないとも言い切れないので安全を期すならやはり上記の方法の方がベターだと思われる。

さらにAutorunに対するピンポイントな対応策だが、Windowsのオートラン機能を停止するという対策もあるらしい。
しかしこれもMSが公表したやり方は、不完全とUSCertが警告したニュースが流れるなど、混乱しているしUSCertなどが推奨する方法は、これまたWindows初心者の私には、簡単に「やってみる」と言えないような内容だった。
ちゃんと理解したらまたここにも追記する。

「Autorun.inf」という検出したファイルをテキストエディタで開いてみた
このshell￥open￥Command=3u.cmdという文字列が
「ボリュームを開いたら3u.cmdというスクリプトを実行せよ」という意味らしい
そうならば本来はUSBメモリなどをさすだけでは感染しない筈だが
「いつもこの設定で開く」を一度選んでしまうとあとは差すだけで自動実行が満開だ

先日検出した不可視のデータ再生領域に潜んでいたヤツは
「f.exe」というコマンドを開けと書いてある
こういう地雷がそこここに埋められるというのがこのワームの特徴だ

こうしたことから、このWindowsの自動実行の機能自体を停めてしまうという安全対策もある。
その参考ページは以下の通り。
Semplice-autorun.inf - ウイルス対策とUSB接続機器の安全な利用法

求む！イカタコクラゲフグ『ウイルス』の情報〜なんかヤバそうなニホヒがするのだがいまだに正体が分からない・・・

まずは以下のキャプチャーを見てほしいのだが、これが最近一部の特殊アプリ常用者のWindowsユーザがやられて、阿鼻叫喚地獄になっている「イカタコウイルス」のスクリーンキャプチャーだ。
（キャプチャーは下記リンク先の２ちゃんねるまとめブログから転載）

これはWindowsのスクリーンキャプチャ（２ちゃんねるまとめブログより転載）
あらゆるファイルが「イカ画像」に置き換えられている

この「ウイルス」にやられると内蔵ディスクだけでなく、接続しているネットワークボリュームのすべてのファイルが「イカ」の画像に置き換えられてしまう。
jpegやmpegだけでなくドキュメントファイルもシステムファイルもすべて書き換えられてしまうそうだ。
そしてそうなったら勿論もう内蔵ディスクから起動はできなくなるし、一般に消去ファイルはサルベージできるがこのように上書きされてしまったファイルはもう二度とサルベージも不可能だということだ。

なかなか気味が悪い「ウイルス」だと納得いただけただろうか。
しかもさらに気味が悪いのは、実はこれウイルスかどうかもよくわからないのだ。だから「ウイルス」とカッコつきで書いているのだ。

「一部の特殊アプリ常用者のWindowsユーザ」とは要するにWinnyユーザのことだが、これはそういうファイルをもらっちゃったら、Windowsでは誰でもやられる可能性がある。

作者はWinnyやTorrentなどのP2Pユーザに対する憎悪を表明するようなメッセージを添えているが、もしもこういうものをもらったnyユーザからたまたまメールやUSBメモリなどで問題のファイルをもらってしまったら、そういうアンダーグラウンドに手を染めていないWindowsユーザだってやられる可能性はある。
「ウイルス対策ソフトはちゃんと入れているから大丈夫さ」
とか言ってみたって、そのウイルス対策ソフトに引っかからないようだからたちが悪い。

このファイルはもらった時には.AVIなどの拡張子を持っている。
ファイル名は大抵は人気のアニメのタイトルだったり、映画のリッピング風の名前だったりする。
そしてnyユーザがこういうファイルをゲットして、勿論用心のためにPCに入れてるウイルス対策ソフトでスキャンをかけるが特に異常も「感染」アラートも出ない。

最近のnyユーザは、世間で個人情報流出事件が喧伝されていることも知っているし自分たちが危険なことをしているという自覚を当然持っているから、こういうWinnyでゲットしたファイルは必ず右クリックでウイルス対策ソフトでまずスキャンするという癖がついている。
それも用心深いユーザだと、インターナルにインストールしているウイルス対策ソフトだけでなく、複数のネットスキャンサービスでスキャンをかけてからクリックしてファイルを開くという用心深さを持っているようだ。

しかしそれでもやられてしまう。

どうも
.avi
という拡張子は偽装で
.avi                            .exe
というような細工がしてあったのではというのが通説なのだが、どうやらそうではなくaviファイルはただのラップで、その中味に実行形式のファイルを仕込むことができるような未確認情報もある。
今のところAVIにそういう脆弱性があるという話は聞いたことがないが、もし本当だとしたら大変なことだ。
そしてそういううわさ話も聞かれるくらいこの「ウイルス」は正体不明なようだ。

実はしばらく前からこの話題には注目していろいろトレースしていたのだが、以下のリンク先を見ていただければわかるように、かなりあちこちでスレが立ち、エントリーも書き込まれ各所で話題になっているにもかかわらず、マスコミやITニュースは勿論、セキュリティソフトベンダーのセキュリティレスポンスでもほとんど話題にならないので全く正体がつかめない。

イカ、タコウイルスの記事のリンク先一例

タコ・イカウィルス（？） 暫定まとめ-Birth of Blues

2chまとめブログ クマ速報 - 軽い気持ちでP2P入れたらPCがぶっ壊れた

Winny？- 掲示板 新型のp2pウイルスについての情報をお願いします

強力なコンピューターウィルス　八戸の蛸（たこ） - バビル３世の　ＰＣ関連　& お勧め映画、書籍等

見た目はかわいいが恐ろしいウイルス！ - パソコン修理マニア

ウィルス襲来、殲滅に関する報告｜かずのこのブログ

ということで皆さんにお願いなのだが、どこかでこのウイルスをちゃんと特定しているという情報をお持ちならお知らせいただきたい。
というかこれは本当にウイルスなのかという情報も含めて、ご存知の方はお知らせいただければ助かる。
ウワサはたくさん飛び交っているのだが、それも結構な期間ウワサになっているのだが、どこからも公式発表がないというのがよくわからない状況だ。
ひょっとしたら私が見落としているだけなのかもしれないので、
「ここに行けばちゃんとした情報があるよ」
という情報をご存知の方がおられたらご教授願いたい。

よろしくお願いいたしますm(_ _)m

タコ「ウイルス」をゲット、テストしてみた〜これは引っかかるヤツが悪いといってしまうと身もふたもないのだが・・・

先日ここでも「イカタコクラゲフグ『ウイルス』」の情報を求めたところ、お仕事仲間から
「タコウイルスゲットしましたので差し上げます」
ということで検体をいただいた。

このイカタコクラゲフグ『ウイルス』についてのウワサはこちらを参照。

2009 年 11 月 5 日
求む！イカタコクラゲフグ『ウイルス』の情報〜なんかヤバそうなニホヒがするのだがいまだに正体が分からない・・・

いただいたタコ「ウイルス」は先の2ch系ウワササイトのサンプルのタコ「ウイルス」とは別種で、どうやら相当亜種が増えているらしい。

これがなぜ.aviとして入ってきてWindowsユーザが皆手もなくやられるかが知りたかったのだが、調べてみて確かになるほどと思った。

これの特徴は
１）.aviファイルを偽装した.scrファイル（実行ファイル）であること

２）Windowsファイルシステムの拡張子表示の弱点を利用して拡張子を偽装している（拡張子をチェックする習慣のあるユーザを出し抜く意図あり）

３）それ自体は単なるスクリプトであり、自分で実行環境に感染したりコピーをバラまいたりできない

４）つまり厳密には「ウイルス」ではなく単なるスクリプトなのでウイルス対策ソフトには引っかからない

５）主にWinny、Torrentなどのファイル共有ソフトを媒介に流通しており、ファイル名は人気アニメや映画などをリッピングした風のタイトルになっている（ケースが多い・・・今後例外も出るかも）

６）また.aviファイルを偽装するためにそれなりのファイルサイズになっていて、無意味な映像もバンドルされている

７）クリックで起動するとWindows Media Playerが起動して、その無意味な短い動画を再生するが、それは見せかけでその背後でどんどん実行ファイルは作業を進行させている

８）「winlogon.exe」というプロセス名がフルアップしている
またよく見ると同名のプロセスが２つ起動している（あまり動いていない方が本物でフルアップしている方はプロセス名を偽装していると思われる）

９）終了しようとすると「lsass.exe」というプロセスがログアウトを拒否する
結局強制終了することになる

１０）もとの偽装.aviファイルを削除して再起動してもまた「タコjpegバラまき」プロセスが始まって最終的にはシステムも起動できなくなってしまう

１１）システムを破壊するように思われたが、実際にはシステムファイルで置き換わるのはごく一部だけ
それでもユーザファイルは全滅するので被害は甚大

１２）やられたあとでその起動ボリュームに外からウイルススキャンをかけてもやはりウイルス様のものは見つからない（System32の中のlsass.exeがプロセスの実体で、やはり単なるスクリプトだからウイルス対策ソフトは反応しない）

１３）ファイルを削除するウイルスと違って上書きしてしまうので、感染後のデータのサルベージはおそらく不可能

ということになる。

ここまでなぜ「ウイルス」とカッコつきで書いていたかおわかりいただけたろうか。
厳密にいうとこれは作業を自動実行するスクリプトで、ウイルスとはいえない。
マルウエアではあるが、そういう理由なのでウイルス対策ソフトでこれを防ぐことはできない。

ただ大事な点は、この「ウイルス」は一般のウイルスやワームと違って自分で感染活動をすることができないので、出元が怪しいファイルをもらってしまわないように気をつけるということで防げると思う。
端的にいえばWinnyなどのリスクが高いソフトは使わないことだ。
Torrentは有用なファイルの共有にも使われているが、出自がしっかりしたファイル共有者はMD5ハッシュ値も配付しているので、そういうもので怪しいファイルでないか確認するという方法をお薦めする。
ただし、Winnyを通じなくても手渡しで、こういうファイルを渡すことは当然できるので相手に悪意がないかを見極めることはどんな場合でも必要になる。

もうひとつ重要な点はこれ自体は単なるスクリプトだが、これを隠れ蓑にして別のワームのエクスプロイトと組み合わせたり、ペイロードに別のものを組み合わせるということができるんじゃないかという気がした。

つまり今のところはWinnyユーザをターゲットにした他愛もない「いたずらソフト」だが、Winnyユーザをダシにして最終的には会社などのネットワークを全滅させたり、管理権を乗っ取ったり、それで重要情報を抜いたりというように悪用される可能性も感じた。

これも相当亜種が出回っているようだし、巷でウワサになっている「イカタコクラゲフグ」などの多数の亜種の全部が、これと同じ原理なのかもわからないのだが、とりあえず.aviそのものに細工をされる可能性は今のところなさそうなので、ちょっと安心している。

ただしファイル共有ソフトユーザは安心してはいけない。
というより「もうWinnyはヤメレ」といいたい。
Windowsでファイル共有ソフトなんか使っているのは自殺行為だと思う。

タコ「ウイルス」をテストするに先立ってシマンテックアンチウイルスの
ウイルス定義ファイルを最新にしてスキャンをかけてみた
しかし何ら「感染」は無いという結果が出た

問題のタコ「ウイルス」はMacで見ると明らかにWindows実行ファイルのアイコンがついている

ファイル名を確認するとリッピングコンテンツ風のタイトルの最後が
.avi.scrという二重拡張子になっているのがわかる

ところがWindowsで見るとこの拡張子が.aviに化ける
どういう仕掛けなのかAVIアイコンまで貼付けてある

リスト表示で見てもやはり.aviに見える
最近のnyユーザも馬鹿ではないからダウンロードしたファイルの
拡張子を必ず確認する習慣は広まっているようだが
これはそういうnyユーザを出し抜いてやろうという意図がアリアリだ

もう一度ウイルス対策ソフトで止められないかテストするために
ウイルス定義ファイルを最新版にする
ClamAVは念のためにTerminalから更新

シマンテックアンチウイルスとClamXavでスキャンをかけたが感染はないという結果が出た

さらにWindowsのAVGでもスキャンをかけてみた

こちらも問題無し
普通ここまでやれば「問題無いようだから中味を見てみよう」と考えるだろう
最近のnyユーザは複数のウイルス対策ソフトでファイルを
スキャンするという習慣も身につけている
しかしそれも出し抜かれているということだ

ここでテストのためにこの時にもしUSBなどで外付けハードディスクを
マウントしていたらどうなるかも見てみることにした

例のaviファイルとおぼしきファイルをクリックすると
一応Windows Media Playerが起動してきてモヤモヤっと
画像らしきものをちょっとだけ表示する

そのあとは何も起こらない
しかし注意深いユーザなら猛烈に外付けハードディスクに
ディスクアクセスしていることに気がつくだろう
外付けハードディスクを開いてみると中味はもうこうなっている
ウワサ通りjpegやmpegだけでなくバイナリも何もかもやられている

普通の人はここで異常に気がついて慌ててシャットダウンをトライするに違いない
しかしなぜか「反応しないプロセス」があってシャットダウンはブロックされてしまう
結局強制終了するということになる
私はVMWare Fusionのメニューから「ゲストのシャットダウン」をかけたが
実機ならコンセントをぶち抜くということになると思う
ホストのMacのCPU表示がフルアップしていることに注目

先ほどの外付けハードディスクをシマンテックアンチウイルス、
ClamXavでスキャンをかけるがやはり何も出てこない

しかしその中味はWindowsのエクスプローラからも見えた通り全部消えている
画像や動画ファイルだけでなくバイナリもその他ファイルも全部これに変わっている

このメッセージが以前のタコウイルスではWinnyに対する敵意が感じられるメッセージだったが
これは全くの愉快犯としか言いようがない

ことの発端になった偽装AVIファイルをMac側から削除してもう一度Windowsを起動してみた
起動には成功したがまたプロセスがフルアップしていることに気がつく
「ウイルス」に入り込まれた状態だと思われる証拠にタスクマネージャを開くと
「winlogon.exe」というプロセスがフルアップしているのに気がつく
しかも同名のプロセスがもうひとつ起動しているのがわかるだろうか

そうこうしているうちにデスクトップがPNGだらけになってきた
デスクトップの不可視ファイルもどんどんタコ画像ファイルに置き換わっているからだと思われる
このようにシステムファイルも見境なしに削除されてしまう

デスクトップに置いていたフォルダを開くと中味はもうこの通り

このような表示が出るとシステムの起動に必要なファイルもやられていると思われる

ここで再度シャットダウンをかけることにした
もうシステムはいうことを聞かないのでVMWare Fusionから
「ゲストをシャットダウン」で終了をかける

この時に執拗にログアウトを止めるプロセスがある

このlsass.exeが「反応していません」という表示を出してログアウトをブロックする
勿論その間にもどんどんバックグラウンドではファイルが消されている
このlsass.exeがプロセス名を詐称して活動しているに違いないと考えてあとで実験をしてみた

再度BootCamp全領域をClamAVでスキャンをかける
動作が確実なのでTerminalからかけてみたがやはりウイルスらしきものは出てこない

再起動をかけるがWindowsはdllの不適合で起動できないという表示を出して止まってしまう
Windows単一の環境だともうここで完全にパニクってしまうかもしれない

まず悪さをしている張本人だと思われるlsass.exeをMacから探してみる
３つあるがこの場合WINDOWS￥System32の中にあるlsass.exeが怪しいと思われる

そこでバックアップ先のディスクイメージから同名ファイルと置き換える

Cドライブの第１階層にある「BOOT.INI」というファイルもタコファイルに置き換えられている
またアラートにあったHAL.DLLはWINDOWS￥System32の中にあるので
これらもバックアップのものと置き換える

これでやっとシステム自体は復帰した
やはり起動中のシステムファイルやアプリのバイナリまでは削除できないらしい

しかし大部分のファイルやアプリは削除されたあとで
システムが復帰しても結局できることは何もない

今度はwinlogon.exeというプロセスは
一つだけ起動していてCPUもほとんど喰っていない
これが正常な姿なのだろう

こんな大変な時でもDropboxはちゃんと動いてくれたので
Windowsのフォルダのすべてのタコファイルをwebにアップロードしてくれて
MacのDropboxのフォルダもきっちり全部タコファイルに書き換えてくれた
ここにもし重要ファイルを入れていたりすると使っているパソコンが
全部連鎖的にやられるという悲惨なことになるというオマケつきだ

このようにいかなる段階でもウイルス対策ソフトのスキャンでウイルス性のプロセスは発見できなかった。
「ウイルス対策ソフトを入れているから大丈夫」
とか言っている人達にはよくこの事実を見てもらいたい。
ウイルス対策ソフトだけではこのマルウエアは止められないし、ごく一部のウイルス対策ソフトは対応しているみたいだが単なるスクリプトだからいくらでも亜種は作れる。

ただ感染ルートはすべてユーザが自分の手で入れて自分でクリックして起動するというプロセスが必要で、 自律的に感染することはできないので感染力は強いとはいえないが、それでもWinnyなどをやっている人はハイリスクグループだということは間違いない。

そういう人達が気がつかないで持ち込んで、会社のネットワーク上のサーバを全滅させるなんてこともあり得ないとはいえない。
そうなった時に
「ウイルス対策ソフトも入れていたしファイアウォールも立てていたのに」
と訝しむことになるだろう。

その可能性を感じたのは、内蔵ディスクよりも先に外付けハードディスクやネットワークボリュームの方を優先的に破壊するように設定されていることに気がついたからだ。
そういうシチュエーションを想定して、まず外部のボリュームから先に破壊するという考え方になっている。

このすごい悪意からあなたは自分を守れるだろうか。

タコウイルスの拡張子偽装のメカニズムもわかった〜のだがやっぱりWindowsって安全に問◎▼×$?★♂∫・・・

先日気になっていたタコウイルスの検体を入手してその仕組みも大体わかったのだが、この「ウイルス」の一番気持ち悪いところは拡張子を偽装しているというところだった。

未確認情報で.aviをエンベロープのように使って、その中に実行形式にファイルを仕込むことができるのだ・・・とかつぶやいている御仁がいたが、そういうものはまだ確認できない。
もしそんなことができるなら大問題で、今のところセキュリティ的に安全だと思われる.aviや.movなどの形式のファイルの安全性を全部見直さなければいけなくなる。
パソコン世界の安全基準の根幹を揺るがすような話だが、今のところそういうものを確認できない。

それで予想では、昔よくあった
.avi                            .exe
というようなスペースを空けて本当の拡張子を隠しているのじゃないかと思っていたが、Macから問題のファイルを見ているとスペースを入れているような様子もなく、普通に.avi.scrというように二重拡張にになっているだけだ。

これはどういうことか調べていてこちらのページの記述に出会った。

ひまぐらま-実行形式拡張子 「 .scr 」

要するにWindowsの世界では拡張子表示にしても未登録の.dmgなどの拡張子は表示されるが、.scrのようなスクリーンセーバの拡張子は隠される。
しかもexeが実行ファイルの拡張子だというのは皆知っていることだが、他にもいくつも実行形式の拡張子があるというのは案外知らないんじゃないだろうか。
しかし.exeと.scrは実際には拡張子が違うだけで中味は全く同じだということだ。

その証拠に.exeファイルの拡張子を.scrに書き変えても普通に動く・・・（゜Д゜）

フォルダオプションの設定で、「登録されている拡張子は表示しない」という設定が入っていると、この.scrは隠されてしまうからこういうことが起きるのだが、これがこのウイルスでは狙われたわけだ。
初心者はこういう未登録の拡張子を見て「確認した気なっている」ということもあり得る。
ダウンロードしたファイルに普通に「.avi」の拡張子がついていたら初心者は安心してしまうだろう。

初心者は
「ちゃんと拡張子は確認しました。.aviになっていました。なのにやられてしまいました」
というだろう。
上級者が
「こんなウイルスに引っかかるヤツがバカなのだ」
といっている記述をあちこちで見かけたが、でもシステムのデフォルトの設定がそうなっているのだ。
初心者が馬鹿だからというのはちょっと酷すぎないだろうか。
私は知らなかった。
私も初心者だが・・・

こういう初心者には安全管理ができないようなインターフェイスそのものにやはり問題があると思う。
少なくとも.exeや.scrも未登録の拡張子も扱いをいっしょすべきだ。
拡張子なんて隠すか見せるかのふたつにひとつで、それ以外の細かい設定なんて混乱するだけで無用だと思うのだが、そういうもんじゃないのだろうか。
そして拡張子はデフォルトですべて表示する設定にしてほしい。
これはMacでも同じことだが・・・

とにかく、そういう「欠点」を突かれてWindows初心者は今日もイカタコクラゲフグの犠牲になっているわけだ。
おめでたいことである。

先日確認したタコ「ウイルス」の拡張子がちゃんと表示されている

どうやったかというとエクスプローラのツールから「フォルダオプション」に入る

そこで「登録されている拡張子は表示しない」のチェックを外すとすべての拡張子が表示される
そうすると上記のように偽装拡張子の下に.scrというスクリーンセーバの拡張子が現れる

上記チェックが入ったデフォの状態だと、偽装の.aviは残って.scrは消える
ややこしいのは未登録の拡張子はこの状態でも見えるので
初心者はそれを見ているケースがあるということだ
拡張子はすべて隠すかすべて表示するというふうに単純化してほしいものだ
こういうデフォルト設定で「一部だけ拡張子が隠れる」というのは私も初めて知ったが
Windows上級者がこの手のウイルス感染者をバカにする理由がわかった
しかし初心者でも安全管理が問題無くできるインターフェイスでないと意味がない
と考える私は「所詮、発想がマカ」ということになってしまうのだろうか

この.scrが隠れる設定がいかに問題が大きいかをテストする
ここにiTextというMacでも愛用しているテキストエディタがある
Windows版の拡張子はアプリなので.exeだ

この拡張子をスクリーンセーバの.scrに書き変える
当然システムは「そんなことして動かなくなっても知らんぞ」というアラートを出す

しかし拡張子を書き換えたiText.scrは問題無く起動した
つまりこの方法で実行ファイルの拡張子を隠すことができるし
簡単に偽装することもできるということだ

先ほどのフォルダオプションの設定を戻したらiTextも.aviファイルに偽装できた
このアプリのアイコンリソースにAVIのアイコンを貼ればもう見分けがつかないだろう
こんな偽装は初心者でも簡単だ・・・引っかかるヤツがバカだといわれればそうかも・・
ともかくWindowsを使っている人は仮想マシンだろうがBootCampだろうが
上記のフォルダオプションの設定を今すぐ変更することをお薦めする
そしてクリックする前に拡張子を確認すること・・・身を守る方法はこれしかないと思う

Windows無手勝流にチャレンジ〜すべてのセキュリティ設定を外してネットに接続しまくったらどうなるか実験してみた

もう表題の通りだ。
むかし、といってもそう遠くない昔、Windowsのウイルス対策ソフトやセキュリティの設定を全部外してネットサーフィンをやったらどれくらいウイルスを拾うかという実験をやっていた人がいた。

Windowsがまだイケイケの時代だったので、２〜３時間で２０個ほどのウイルスを拾っていたと記憶している。

それを見て以来「いつか自分もやってみたい」と思っていた。

これも仮想化ソフトの恩恵ということで、Windowsの仮想化環境があることだし、システムぶっ壊れても十数分で元に戻せるのでやってみることにした。

手順としてはこういうことをした。

１）ウイルス対策ソフト（AVG）を完全にアンインストール、常駐サービスも残っていないかコンパネのサービスで確認
２）ファイアウォールを完全に止める
３）ルータ（Air Mac BaseStation）を外してDSLのターミナルにMacを直差し、ターミナルの設定をNATに
４）この状態でOutlook Expressを起動して各種フリーメールも含めてメールを吸い込み放題
５）MSNのページ、Google検索、２ちゃんねる等を起点にネットサーフィン、リンク先のページのリンクはすべて踏む
６）ただしOSはWindowsXP SP3のアップデートやパッチは全部当たった最新バージョンで
これを古いバージョンを使うまでやるとちょっと非現実的なので

「現実的」って、そんな使い方している奴オランで・・・とか思っているでしょ？
ところが以前の職場でPCをそういう使い方をしている人物が二人もいた。
そのうちの一人が持ってきたUSBはウイルスをたっぷりと吸い込んでいた。
そのことを指摘すると
「ウイルス対策ソフトは何を買ったらいいですか？購入費用を会社に請求できますか？」
とのたもうた。

WindowsのセキュリティはMacと比べてシビアだと思っているMacユーザもいるかもしれないが、Windowsの世界も実はこんなもんだ。

ならばこういうことをするとどうなるのか、日々実験だ。
まさに徒手空拳、Windows無手勝流・・・真剣白刃取りに挑戦でござる。

まずはウイルス対策ソフトを「コントロールパネル」の
「プログラムの追加と削除」でアンインストールする
私のところではスタンダードなAVGはエージェントが
残ることがあるのでコンパネの「管理ツール」→「サービス」で確認する

ファイアウォールも外す
Windowsを使用する上で最後の砦のファイアウォールを外すったら外す

あまり関係ないけど気分の問題で「自動更新」も外す
ただしOSは現時点では一応大きなセキュリティホールがない筈の
WindowsXP SP3の最新パッチが全部当たったバージョンを使う
わざと穴がある旧バージョンを使うこともないだろうと思ったので

こうしてセキュリティセンターの評価最悪の「危険なWindows」の出来上がり

余談ながらこの状態のWindowsは非常に軽快でパキパキ動く
セキュリティ無関心なWindowsユーザがこういう状態で使いたがるのもよくわかる
実に快適な動作だ

ついでにルータとして使っているAir Mac BaseStationを
外してADSLのターミナルにMacを直つなぎする
http://（IPアドレス）でターミナルに入ってNAT等の設定をやっておく

そしてWindowsを起動してOutlook Expressで
スパムまみれのフリーメールをがんがんダウンロードする
ああっ・・・やってはイケないことをやるのって快感！

ブラウザは勿論、誉れ高きInternet Explorerだ

MSN、Google、2chなどからすべてのリンクをどんどんクリックするというルールで
一時間「ネットサーフィン」ならぬネットボーリング（？）を敢行

するとｷﾀ━(ﾟ∀ﾟ)━!
一時間もしないうちにワンクリ詐欺マルウエアにデスクトップで常駐いただけた

さてこのテストの結果の方だが、あまり思わしくなかった。
２〜３時間で２０個ほどのマルウエアを捕獲したという先例からいうなら、１時間で１０個くらいは捕獲できるかと思ったが、ワンクリ詐欺マルウエアを１個拾っただけだった。
ちょっと期待はずれ。

だからってセキュリティに無関心なWindowsユーザの諸君は
「なんだ！　Windowsも案外安全じゃん、Macみたいにウイルス対策ソフト無しで使ってもいいんじゃね？」
なんて思ってはいけない。

このワンクリ詐欺マルウエアはなかなか手強い奴だったからだ。

一応ルールとしては、２ちゃんねる、MSN等を起点にしてwebサイト３枚までという制約ですべてのリンクを無条件でクリックするということでやってみた。
するとこうしたメジャーどころのサイトからでも、たった数クリックでこうした悪質サイトのワンクリ詐欺に引っかかった。

内容は
「お前は弊サイトが提供するアダルトコンテンツを有料で見る契約を承諾してクリックした
７２時間以内に数万円の入会費を振り込め
さもないと法的処置を講ずることもある」
というような内容のアラートポップアップがデスクトップに数分おきに出てくる。

問い合わせのメールアドレスなんかも書いてあるが、勿論こんなところにメールで
「心当たりが無いから解約してくれ」
なんて送ったりしたら、偽の弁護士事務所から
「依頼人から請求に応じない悪質なユーザに対する法的処置の依頼を受けた弁護士◯◯である
支払いに応じない場合は◯◯地裁に提訴して公表事件とする
会社や学校、家族に知られたくないなら支払いなさい
なおあなたの住所氏名、電話番号などはすべて把握している」
という返信が来るに違いない。

実際にはIPアドレスとメールアドレスぐらいしかわからない筈だが、それで関西在住とか関東在住とかそれくらいは絞れるので、そういうブラフをかけてくるかもしれない。

そしてデスクトップには例のポップアップがいくら再起動しても、すべてのアプリをタスクマネージャーで止めても執拗に出てくる。
きっと初心者だったら神経が参ってしまうだろう。

それでこれを完全に掃除する方法だが、結構苦労した。

まずはこのアダルトアラートを表示しているプロセスを特定することから始めた
すべてのアプリを終了してもまだ出てくるし再起動しても数分おきに出てくる
何かの常駐プロセスにやらせているに違いないと踏んで
タスクマネージャーでいくつかプロセスを止めたところビンゴ
mshta.exeというプロセスがこのポップアップを表示していた

以前テストしたMac向けスケアウエアは偽のブラウザを偽装した偽プロセスが
ポップアップを表示していたが、MacからSpotlight検索した「mshta.exe」の数と場所は
バックアップディスクの中の健常なWindowsと同じだった

それで、こういうhta（自動実行）プロセスを悪用する実例がないかググってみたところ比較的簡単に参考になるサイトが見つかった。
こことか・・・
mshta.exeによるワンクリック不正請求詐欺サイト　月桂樹葉
ここあたり・・・
自動実行する mshta.exe プロセスを削除する方法
が参考になった。

Windows世界では割とありふれた手法らしい。

まずはスタートメニューの「ファイル名を指定して実行」を開いて「msconfig.exe」と入力して検索

mshtaという項目があればチェックを外す
この場合は見当たらなかった

次に同じくスタートメニューの「ファイル名を指定して実行」に「regedit.exe」と入力して検索

Windowsの心臓部であるレジストリエディタを開く
できればこういうものは一生開かずにいたかったが仕事もWindowsの心臓部をいじる仕事に
替わったところだしWindowsのレジストリやライブラリにも慣れていかなくてはいけない

ここでmshta.XXXXXXXXXX.htaという名前のファイルを探す
探すべきディレクトリは下記の通り
.htaの拡張子があるファイルはこれだけだったので
どうやらこれがポップアップを出していた本体らしい

これを削除する方法は「編集」メニューから「削除」
これでポップアップは出なくなった

さらにAVGを再びインストールしてディスク全域をスキャン
別のウイルスファイルを発見した

こちらもhta関連のファイルで
「JS/Generic」なんて立派な名前をいただいたトロイの木馬だった
これの動きはバックヤードで気付かれずに特定サイトに
不正アクセスして自動クリックするということらしい
これでアフィリエイトで一稼ぎできるし例のアダルトサイトにアクセスさせれば
また削除した「ワンクリ詐欺ポップアップ」を復活させることもできるだろう

隔離室から右クリックで特定ディレクトリに復活させることができる
このサンプルはありがたくいただきました

ということで上記リンク先を参考に探してみた結果、私の場合
マイコンピュータ\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
というディレクトリに
mshta"C\Documents and Settings\All Users\Application Data\eromd\××××.hta"
というレジストリを見つけたのでこれを削除した。

ここらあたりも怪しいものがある可能性がある。
マイコンピューター\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
マイコンピューター\HKEY_USER\(各ユーザー)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
またhtaという拡張子を使っていないかもしれないが、頑張って探してみて欲しい。

またこのポップアップを表示していたファイルとは別のトロイの木馬として検出されたファイルは、感染しても全く気付かれずに完全にバックヤードで、特定のサイトにアクセスしたり自動クリックできるなどの機能を持っていて、もともとはアフィリエイトで不正な利益を上げるためにバラまかれたものだったそうだ。
危険度は低いながらも、これを利用して暫く時間をおいて例のポップアップをまた復活させるなんてことにも利用できそうだし、この組み合わせは結構悪質だと感じた。

いやぁ、Windows世界は楽しいねぇ。
またそのうちもっと長時間、もっとディープなところにもどんどん踏み込んで実験してみよう。

ということで今回は、このBootCampボリュームのWindowsはキレイに削除してWincloneでまっさらに戻しました。
これはやっとかないとコワいからね。
よい子の皆さんはマネしないように。

アップデートかけてないWindowsPCは相変わらず危険だという話〜AutorunテストUSBメモリ作ってます

昨日WindowsのOSが吹っ飛んでディスクイメージから修復している時に面白いことに気がついた。

思うところあっていきなり最新環境に復元しないで、昨年、つまり２０１０年４月にとったディスクイメージからWindowsXPのシステムを復元した。
WindowsXPのSP3で当時の最新パッチが全部あたっているバージョンだ。

この１年前のWindowsXPに久しぶりに引っ張り出してきたAutorunデモ用に作ったUSBメモリを差してみた。

すると最近機能しなくなっていたこのUSBメモリが見事発動してWindowsのデスクトップがこのキャプチャーのようになった。

USBメモリを挿してマイコンピュータのドライブレターのアイコンをクリックすると
メモリが開くのと同時にデスクトップを覆う「感染しました」の文字
これは本物のウイルスではなくちょっとした悪戯でWindowsの
AUTORUN機能のデモのためにテキストファイルで表示している

この悪戯の仕掛けは簡単でUSBメモリ最初の階層にAUTORUN.INFというファイルを置いておき
そのテキストを開くテキストエディタアプリをいっしょに入れておけばいい
ここではテキストエディタはiText ExpressWindows版でテキストの拡張子は.ITEになる

AUTORUN.INFは一種のINIファイルのような簡単なOSの振る舞い記録シートで
文字列はこんな感じのシンプルな表記で動作する
これは『USBメモリをマウントしたら自動実行で「virus.ITE」というファイルを開け
「virus.ITE」を開くヘルパアプリはiText.exeを使え』という意味

今現在の最新版WindowsはVistaも７もXPもこのAUTORUN機能は
無効にされているためにUSBメモリは普通に開くだけだ

これはちょっとした悪戯なんだけど、無意味な悪戯ではなく２００８年あたりから大流行したAUTORUN系のウイルスのデモのために作ったものだ。

AUNTORUN機能の脅威についてWindowsユーザなら誰でも知っているものと思っていたのだが、実際はかなり大部分の人がAUTORUNウイルスの実体を理解していなくて、ウイルスをまるでリアルなインフルエンザかなにかの様に混同して「見えない脅威」とかいっている人と多く接したので、ウイルスとは何かというデモでこれを作った。
ウイルスは正しい方法で特定すれば必ず見える姿をしている。

AUTORUNはキャプチャーのようにWindowsの正規の振るまい記録ファイルの.INFファイルに簡単な記述をして指定のファイルを指定の方法で開けという記述をしているだけだ。

そこには
１）（USBメモリなどの）ボリュームをマウントしたら
２）指定のファイルを
３）指定のヘルパアプリで開け
という３つの条件が記述されているだけだ。

AUTORUN.INFの記述の仕方については、Windows関連のサイトで解説しているページがそれこそたくさんある。

これはUSBメモリを挿したら自動的にアプリが起動してディスクをスキャンしたりデモを表示したり、CDを挿入すると音楽が再生したり、DVD挿入で自動的にビデオが始まったりというWindowsの『便利な』機能を実現する目的で置かれていた。

そしてこの仕組みをそのまま利用したのがAUTORUN系のウイルスで、USBメモリ（だけではない、実際はCDRやDVD-R、HDD、iPod、カメラなどのあらゆるメディア、デバイスがターゲット）を挿入するだけでウイルスファイルが自動実行されるという仕組みだった。

キャプチャではテキストファイルをテキストアプリで開いているが、まんまウイルスの自動実行ファイルやペイロードを実行環境で開くというコマンドに置き換えればAUTORUNウイルスの出来上がりだ。
特別なスキルが無くても誰でもマネできる。
だから２００８年から２００９年にかけてWindows世界でこのウイルスの亜種が大流行したのだ。

キャプチャの通り最新版のパッチがあたっているXPやVista、７ではこのAUTORUN機能は殺されているので、今はこのAUTORUNウイルスは下火になっている。
下火になっているが絶滅したわけではない。

Microsoftは２００９年の年末にすべてのサポート中のWindowsは順次AUTORUN機能を殺すパッチをWindowsUpdateで配布するとアナウンスした。
しかし実際にはキャプチャーの通り２０１０年の４月の最新版WindowsXPではまだAUTORUNウイルスの餌食になる可能性がある。

MicrosoftはこのAUTORUN機能には相当未練があったようで、段階的に対策を施していたがすべて裏をかかれINFファイルで振るまい指定することを禁止して、結局メディアごとに挿入したら何をするかをユーザに自分で選択させる現在の姿に落ち着いたのは最近のことだった。
いつそうなったか調べてみたが正確なところはわからない。
少なくとも２０１０年の４月以降のことで、多分２０１０年つまり昨年の夏以降に今の形になったと思われる。

ということは２０１０年夏以降アップデートを怠っているWindowsXP〜７はいまだにAUTORUNウイルスの餌食になる可能性が残っていることになる。
またすべてのWindows2000、WindowsMeは当然何ら対策がされていないので、ウイルスダダ漏れである。

問題はこの２０１０年夏以降アップデートがあたっていない筐体（及びWindows２０００などの腐ったミルク・・・名言byマイクロソフト）はまだ多数存在するということだ。
ある種のミドルウエア、勘定系ソフト、自動機用のPC、ビデオ編集、再生アプリ専用PCなどは「アップデートすると動作保証できない」という理由でアップデートがあたっていないケースが非常に多い。

しかも「ネットから隔離しておけば安全だ」とばかりに隔離環境のPCにUSBメモリでファイルを渡したりしている。
これで感染事故を起こさない方が不思議で、今私の関係している仕事先の環境でもウイルス騒ぎが起きている。
最近見たものはAUTORUN機能とネットワーク経由で感染するBlasterのような機能を併せ持つ
Conficker
というタイプだった。

これは今でもWindows世界で猛威を振るっているので、注意してもらいたい・・・と書くのも何だか虚しい気がする。

このAUTORNの廃止のアナウンスについて調べていてこういうやり取りを見つけた。
Windows7ではAutoRun無効に、VistaとXPにも順次適用予定 - スラッシュドット・ジャパン

『拡張子を非表示にするのもやめてくれないかなぁ・・・
.scrをダブルクリックで実行してしまう設定もやめてほしいなぁ・・・
hoge.htmlをコピペしようとすると、hoge_filesってフォルダも一緒にコピーするみたいな余計な処理もやめてほしい。。。』


『その頓珍漢な仕様のせいで初心者が挙動を意識しづらいがために攻撃手段になってしまっているという話ね。
便利になる以上に害悪になっている。
そういった意味でAutoRun同様に問題だと思うということです。』


『うーん、 DVD や CD を突っ込んだらとりあえず再生できる、って利便性を享受してる人たちの方が圧倒的に多いと思うよ？

データを記録したメディアを開くにしても、 Windows ならスタート メニュー or デスクトップから /(マイ )?コンピュータ(ー)?/ を開いて、 CD ドライブを開けば…、と考えるかもだけど、例えば同じことを Mac OS 上で、 Linux (Gnome, KDE, etc.) 上で、あるいは触ったことのない他の UI 上で、何の迷いもなく操作できる？

その学習コストを不要にするための機能を、全面禁止にしろ！ってのは、できる人の傲慢じゃないかなぁ。』


『はい。それは全部知っていて、その状況に実際に直面したこともあります。でも私はそんなに困っておらず、それに掛かる手間も大したことないと考えています。

では逆に、それらの機能を全部取っ払ったら、どうなるでしょうか。

〜中略〜

で、つまるところ私が言いたいのは、いろんな機能もデフォルト値も適当に決まってるわけじゃないのよ、と。 Microsoft 自体もいろんな意見は知ってて、さまざまな要因を（少なくとも外側から見て分かる程度には）議論した上で決定を下してる。その結論の前に、「よく言われてる」とか「迷惑がられてる」とか、いくら感覚で主張しても根拠にはならないんです。議論の内容をカバーできる代替案を示せなければ意味がない。

『余計』とか『頓珍漢』とか、いつも根拠なく一刀両断しちゃってない？
一応教える側の人なんだよね？しっかりしようよ。』

これが平均的なWindowsユーザの意識なのかな。
AUTORUN機能なんて１０年前に脆弱性になりうると警告された機能を２０１０年まで引っ張っちゃってウイルスの大流行を許したのに、
「マイクロソフト様が適切に判断してくださるから、その方が正しいんだ」
なんて思考停止したユーザまでいることに驚きを感じる。

それにMacユーザはCDRやDVDを挿入するたびに「学習コスト」とやらに苦しめられていませんから。

Windows式のAUTORUN処理がすべてに勝る方法だと信じ込んでいる人は、せいぜいウイルスもらって楽しんでください。

ていうかBlasterや二ムダを上回る空前の大流行を経験して延べで世界中のWindows機のおよそ３割は何らかのウイルスに感染したという修羅場をくぐったのに、いまだに「自動機能ラブ」なWindowsユーザが、ネットワークから隔離したパッチのあたってないWindows機を専用機環境で運用しているのだ。
原発で「メルトダウン」事故が起きるぐらい不思議でもなんでもない気がしてきた。

以前ここでイカタコ「ウイルス」について取り上げた。
求む！イカタコクラゲフグ『ウイルス』の情報〜なんかヤバそうなニホヒがするのだがいまだに正体が分からない・・・
この時にこのイカタコ「ウイルス」をカッコ付きのウイルスで本物のウイルスではないと分析した。

自己増殖機能がなく、人間の思い込みでファイルを増やしていくのはウイルスではないと思ったからそう書いたのだが、しかし本物のAutrunだってGunmlarだって結局Windowsユーザの思い込みによって増殖している気がする。
その点ではイカタコ「ウイルス」と同じで、Windowsそのものの脆弱性というよりは、Windowsユーザの脆弱性に付け入られている気がする。

ところで、この３点セットの小さなファイルをUSBメモリの最初の階層に入れるだけで、Windows脆弱性テストキットとして使える。
上のキャプチャのように「感染しました」のテキストが表示される人はアウトということになる。

この脆弱性検出キットを希望の方には差し上げます。
勿論危険なファイルでも何でもなく、Windowsの正規の.INFファイルとWindows用アプリとして配布されているアプリと、タダのテキストファイルの３点セット。

しかし上記の通り悪用すれば改造して、ウイルスのエクスプロイトとしても当然利用できる。
この関係は日曜大工の工具で殺人用の兵器だって作れるのに似ている。
こういう場合も「ウイルス配布罪で逮捕」ということになるんだろうか？

Windowsのネットワークプリントの設定に日がな一日悩む

仕事で接続しないといけないネットワークプリントの設定に往生したというお話。

MacBook ProのOSX とWindowsXPの両方でプリントアウトできるように設定していたのだが、先日ここに書いたようにWindowsの方のボリュームをWincloneを使って修復してしまった。
おかげでやや軽くなったし、毎回起動するごとにディスクスキャンしたりファイルのやり取りごとにエラーを出していた問題は解決したのだが、プリンタの設定も消えてしまった。

こういうものはどこの会社でもそうだと思うがネットワーク管理者のような人がいて、その人がやってくれるから他の人は覚えなくてもいいのかもしれない。
しかし休日なので運悪くそういう人もいない。

キヤノンのLipsというドライバを使うPS複合機なのだが、これが半日すったもんだしてやっとやり方が分かったので忘れないうちに書いておく。
しかしWindowsのプリンタ設定ってどうしてこんなに難しいんだろうか？
どこにも取説がないというか、取説には簡便な方法しか載っていないくてここまで解説しているものは結局見つけられなかったので忘れないうちに書いておく。

なおキヤノンのドライバは何故か日本語版だとエラーが出るので、英語版でチャレンジしたらうまくいった。
あちこちに地雷が埋められている感じだ。

通常のネットワークなら「ネットワークを検索」で進行する

それでここにネットワークプリントが見えてくる筈だが無線LANでも
共有されているプリンタのため安全性のためにネットワークから見えなくしているようだ

そこで「手動でインストールするポートを選択」をチェックして次の画面に進む

ここでプリンタの機種にあったドライバを選択する

ここでポートを特に選択しなくても「Next」で
うまくいくようにキヤノンの取説には書いてある

しかし実際には「ポートを選べ」というエラー表示でこれ以上前には進めない

「Add Port」をクリックしてポートを選択する
ここでいうポートというのはイーサネットのポートのことではなく物理的な接続口のことらしい
LANケーブルでつないだネットワークなので「TCP/IPport」を選択する

するとセットアップウイザードが起動する

このセットアップウイザードが起動して初めて
管理者に教えられたIPアドレスを入力することができる
あっさり書いているがここにたどりつくまでの道のりは遠かった

さらにポートで使用するデバイスについて聞かれる
これも大量の選択肢があってNICのことを聞かれているのか意味不明

だがキヤノンのプリンタなので「Canon Network Printer」でいいのだろうとやや当てずっぽう
キヤノン関係だけで１０個くらい選択肢があるので当てずっぽうにならざるを得ない

以上の設定でいいのかの確認画面

以下やっとプリンタドライバのインストールが進行する
再起動の後にプリンターに繋がってプリントに成功した
しかし残念ながらWindowsのインターフェイスはあらゆる段階に選択肢が多すぎて
しかもどれが適切なのかさっぱり分からないし解説も書いていないので
一つずつ試すと膨大な時間がかかってしまう

因に同じネットワークプリンターにMacでプリントする手順は以下の通り
まずドライバを先にインストールしておきシステム環境設定の
「プリンタとファックス」のリスト下の＋マークでドライバを追加する

LPDを選択してアドレスに管理者からもらったIPアドレスを入力する
「一般的なドライバ」を自動選択するかもしれないが
インストールしたドライバソフト選択し直す

「プリンタソフトウエアを選択」を選ぶと選択画面が
現れるので機種にあったドライバを選択する

いろいろ確認されるが「続ける」でおk

リストにプリンタドライバが現れて次からプリントアウトの時にそのドライバを選択すればいい
実に簡単で迷いようがない
この差は何なのかとワタシャ言いたくないけど言いたいよ（昭和のギャグ・・・）