いまだに驚異になっているリムーバブルメディアで感染を広げる「MAL_OTORUN」。トレンドマイクロの3月インターネット脅威リポートにおいても8か月連続で被害報告数ベスト(ワースト?)1。大流行のConfickerもリムーバルメディア経由での感染機能を持っている。 マルウェアの実行はautorun.infを用いて自動実行するのは周知のこと。では、感染活動のほうに目を向けるとどうなのか。つまり、USBフラッシュに自分自身をコピーするのはどうやってるんだろう。プログラム側でUSBフラッシュが接続されたことを認識する必要がある。 実はこれは至って簡単で、Windowsは、USBフラッシュメモリの挿入を含めHWデバイスに変更が発生すると、すべてのアプリケーションに対して、「WM_DEVICECHANGE」メッセージを送信する。プログラム側でイベントハンドラを定義してこのメッセージを受け取った時の処