- ベストアンサー
トロイの木馬、サブセブンについて
ノートンのパーソナルファイヤーウォールを使っている者なんですが、つい昨日、このソフトで警告が出て、下記の様なメッセージが出ました。「規則「Default Block Backdoor/SubSeven Trojan」が *****をブロックしました。 詳細:インバウンド TCP 接続、ローカルアドレス、 サービスは*****、リモートアドレス、 サービスは 24.88.76.171,3107 プロセス名は N/A」(*****には私のコンピューター名が入ります)ノートンのシマンテックのサイトを見ましたが、あまり詳しく書かれていませんでした。このサブセブンというのはどんなモノなのか詳しい方いらっしゃいましたら、教えていただけるでしょうか。また、LAN等を組んでいない場合にも侵入される危険はあるのでしょうか?それから、上記ログから発信元を突き止めると言うことは可能でしょうか?
- ACCEL
- お礼率89% (91/102)
- ネットワーク
- 回答数2
- ありがとう数4
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
SubSevenについては参考URLを参照ください。 SubSevenは汚染された実行形式ファイル(偽装されていることもある)の形で流通しています(メールやニュースの添付ファイル、ネット上からDLできるソフトウェア、市販ソフトの不正コピーなど)。これを実行してしまうとシステムが感染します。 感染後、SubSevenはバックドア(裏口)となりInternetやLAN経由で感染したシステムが遠隔操作可能となります。 ACCELさんがFWで検知したのは、恐らく無作為に抽出したIPアドレスに対してSubSevenのバックドアを利用して侵入できないか試みるものだと思います。この不正なアクセスは(今はCodeRedやNimdaの不正パケットに埋もれてますが)比較的よく見られるものです。 #私のPCでは1件/月くらい、かな。 SubSevenに感染していなければ特に心配する必要はありません。
その他の回答 (1)
関連するQ&A
- トロイの木馬
ウイルスソフトは、NortonInternetSecurity2003を使っています。 "高危険度" ルール「Backdoor/SubSeven トロイの木馬のデフォルト遮断」が203.208.74.104、27374を遮断しました。 インバウンドTCP接続 ローカルサービスは(BYH6HQY9B9H9NE9(219.198.184.216)、27374) リモートアドレス、サービスは(203.208.74.104、3301) プロセス名は "N/A" と、表示されたので完全スキャンをしたのですがウイルスは検出されまさんでした。 以前、Bloodhound.Exploit.6とVBS.Network.Eに感染したのですが、(発生源:C\Documents and Settings\)どちらとも「修復できませんでした」、「アクセスが拒否されました」と表示され削除できなかったので、 インターネットで調べた結果NortonInternetSecurityが誤作動するという記事を見つけたので、念のため、一時ファイルを削除したあとは、なにもしていませんでした。 Windows UpdatetとLiveUpdatetは、常に更新しています。 上記二つのウイルスが原因なのでしょうか。 教えて下さい。
- ベストアンサー
- ウィルス・マルウェア
- これってトロイ?何かされてるんですか??
私はCATVで日々インターネットを楽しんでいるのですが、 Norton Internet Securityにほぼ毎日何回か 規則「Default Block NetBus Trojan」が k2,NetBus をブロックしました。 詳細: インバウンド TCP 接続 或いは 規則「Default Block Hack 'A' Tack Trojan」をブロックしました。詳細: インバウンド UDP パケット という警告が表示されます。 一体誰かが何かをしているという事なのでしょうか? ものすごく不気味なのでどなたか説明をしていただけないでしょうか? 足りなければ補足いたしますので。
- ベストアンサー
- ネットワーク
- トロイの木馬に関して
私はノートン・アンチウイルス2005を使用しています。 2005年5月にパソコンを触っていると、いきなりsys.exeというプログラムが大量に起動しました。 不審に思い、ウイルススキャンを行った所、何も検出されませんでした。 そこでsymantecにこのsys.exeを提出したところ、「Backdoor.Trojan デベロッパーノート」に感染している、との結果が出ました。 (sys.exeはC:\WINDOWS\WinSxS\Policies\x86\フォルダにありました。) このBackdoor.Trojan デベロッパーノートは「山田ウイルス」や「山田オルタナティブ」と関係があるのでしょうか? また、私はノートン・インターネットセキュリティ 2005も合わせて使用し、ファイアーウォール対策も合わせてしているのですが、これで私のパソコンのファイルが流出する...と言う事は無いですか・・・? よろしくお願い致します。
- ベストアンサー
- ウィルス・マルウェア
- トロイの木馬
WindowsXP P2を使ってます。サイトにあった掲示板の参考URLを開いたところ、英語のアニメと共に、トロイの木馬に感染したとの警告がありました(TT)「発生源: C:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\FHI2HPMV\you[1].js クリックでこの脅威についての詳しい情報 : Trojan Horse」というものです。ノートンアンチウィルス2005に入っていたため、すぐにLiveUpDatをして、完全スキャンしました。(WindowsUpDateは、毎日更新するように設定してあります)状態は、問題なしでした。でも、レポートの活動を見ると、「詳細: 未使用ポート遮断機能が通信を遮断しました。インバウンド TCP 接続 リモートアドレス、ローカルサービスは(200.208.246.186,1337). 」のような文章ばかりがずらっと並んでいます。以前はこのようなことはありませんでした。時々、「詳細: 侵入検知が Unused Windows Services Block トロイの木馬を検出して遮断しました。219.248.228.184 とのすべての通信は 30 分間にわたって遮断されます。」との文章も、混ざっています。念のため、スパイボットも、インストールしまた。 それで検索すると、毎回必ず5個のアイテムが引っかかります。これは、修正などを施しましたが、消えることはありません。このままで、よいのでしょうか?自分なりに調べてみると、よく、手動で削除などの、文に行き当たりますが、これも難しそうで、迂闊に手を出せません。素人なので、精一杯の対処をしたつもりですが、これどまりです。sどなたか、後は、どうしたらいいのかわかりやすく教えていただけないでしょうか?
- ベストアンサー
- ウィルス・マルウェア
- Norton Internet Worm Protection について・・・
「Norton Internet Worm Protectionが侵入の試みを検出して遮断しました。」 というセキュリティ警告が表示されます。 内容は セキュリティルール:Default Block Bla Trojan horse 日付:2005/07/30 時間:9:19 パス:N/A ファイル名:N/A 方向:インバウンド ローカルアドレス:自分のローカルアドレス ローカルポート:1042 リモートアドレス:64.4.12.201 リモートポート:7001 プロトコル:UDP です。これはどういう意味なのでしょうか?また、対処しなければならないとすれば、どうすればよいのでしょうか? よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- ウイルス警告がやたら出る
今日に入って、10分おきくらいに、ノートンがウイルスを遮断しましたってメッセージが出まくります。 その詳細が セキュリティルール Default Block SERV-Me Trojan horse 日付 2006/5/13 時間 13:28 パス N/A ファイル名 N/A 方向 インバウンド ローカルアドレス ***.*.**.*** ローカルポート **** リモートアドレス ***.**.***.*** リモートポート ***** プロトコル TCP 一部、公開してもいい情報なのかどうかわからなかったので、伏せました。 そこを出しても特に問題ない、それが分からないと対処できないとかなら、全然書けます。 これってほっといても大丈夫なんでしょうか?? 何回もメッセージが出るので不安です。。 分かる方、どうかよろしくお願いいたします!
- ベストアンサー
- ウィルス・マルウェア
- Norton Personal Firewall
Norton Personal Firewall を使用しています。 Firewallのオプションのイベントログを開くと以下の様に出てきます。 未使用ポートブロック機能が通信をブロックしました。 詳細: インバウンド TCP 接続 リモートアドレス、 ローカルサービスはとか インバウンド IP ブロックがブロックされますとか、 NDIS フィルタ処理が有効ですとか、対話型学習モードは有効ですとか出ます。 又、 Firewallのオプションのプライバシーを押すとメッセージの欄に許可とかブロックと出て その後に長い数字などが出てきます。許可の方が多いです。問題ありますでしょうか? いくつも面倒な質問をして大変恐縮ですが簡単にで結構ですので1つずつご説明願えればありがたいです。 ダイヤル接続です。 IE5.5、OSはMEです。 よろしくお願いいたします。
- ベストアンサー
- ウィルス・マルウェア
- Norton Anti Virusでのウィルス感知
昨日、姉がパソコンをたちあげNorton Anti Virusのオートプロテクトを有効にしてからネットを繋げたら Default Block HAck'A'Tack Trojan とかいうのが出てきました。 詳しいことは姉がこのエラーに対しておそらく適正に対処をしなかったのでうろ覚えなのですが、インターネットセキュリティのイベントログというところのファイアーフォールを見たらこんな記録がされてました。 規則「Default Block Hack 'A' Tack Trojan」が 211.132.69.26,31789 をブロックしました。詳細: インバウンド UDP パケット ローカルアドレス、 サービスは 211.132.69.26,31789 リモートアドレス、 サービスは 211.220.125.130,1025 プロセス名は N/A これって、どういうことなんですか? OSはwindows2000で、今Norton Anti Virus2001の体験版を入れているので直接シマンテックのサポートには問い合わせる権利がないので困ってます。 ソフトについているヘルプや、発売元のシマンテックのホームページに行ったのですが、よくわかりません。 ついでにこの警告の後、ポスペの受信ができませんでした。 後でNortonを無効にして受信したら出来ました。これもなんだか不思議。 さらにもっと不思議なのは、警告が出たのにウィルスメールが一通も来ていないこと。本当によくわからないです。(-_-;) それからNortonのワクチンソフトでウィルスを発見した場合って、どういう手順でいくのでしょう? 一応設定を見たら、警告を発してどういうふうにするか選択する形にはなっているのですが・・・・・。 それも調べたのですが、はっきりわかりません。 どなたかご存知の方、教えてください。よろしくお願いします。(__)
- 締切済み
- ネットワーク
- これってトロイ? Norton F/W
詳細: ルール「Bla トロイの木馬のデフォルト遮断」が TM1B11(10.70.133.31)、1042 を遮断しました インバウンド UDP パケット ローカルアドレス、サービスは (localhost、1042) リモートアドレス、サービスは (TM1B11(10.70.133.31)、1042) プロセス名は "N/A" 毎日発生しているログではないのですけど、たまに発生しています。 リモートアドレス10.70.133.31というのはlocalhostのIPなんですよね。 それがインバウンドからアクセスしてきている??? どう解釈したらよいでしょうか?
- 締切済み
- ウィルス・マルウェア
お礼
ありがとうございました。