• ベストアンサー

nimdaがどの検知ツールでもひっかからない?

nimdaによって感染した「admin.dll」や「Riched20.dll」は どこのウイルス検知ツールを用いても検知できないと言われました(9/28現在) ということで、上記2つのファイルを上書きしなさい という指示を受けています。 シマンテックやネットワークアソシエイツのnimda検知ツールを使って大丈夫っといっても 「検知ツールは意味無いです」の一点張りです。 本当にadmin.dllやRiched20.dllは検知できないのでしょうか? (admin.dll等も検知できるツールはどこにあるのでしょうか?)

noname#41381
noname#41381

質問者が選んだベストアンサー

  • ベストアンサー
noname#9414
noname#9414
回答No.1

基本的にadmin.dllはIISがインストールされていると、Riched20.dllはWordpadがインストールされていると存在するDLLで、しかもバージョンごとに少しずつファイルサイズも違うので、上書きされてもほとんど分かりません。まぁ、実際にはバイナリで比較して・・・と言う手もありますが、それをするにはまだNimdaのことがわからな過ぎというのが実際だと思います。 ただ、基本的には感染したPCのRiched20.dllなどはすでに感染したものに上書きされていると思われるので、正常なもので上書きするようにと言う風に書かれているはずです。一度もNimdaに感染していないのであれば、特に問題はないと思いますよ。 念のために、Trendmicroの検出ツールへのリンクを参考URLに書いておきます。 間違いがありましたらご指摘ください。 ではでは☆

参考URL:
http://www.trendmicro.co.jp/nimda/tool.asp
noname#41381
質問者

お礼

ご回答ありがとうございました。 >しかもバージョンごとに少しずつファイルサイズも違うので、上書きされてもほとんど分かりません。 > ということは、やはり今存在しているチェックツールではadmin.dllとRiched20.dllは 検知できない ということでしょうか? nimda検知は他の事象で検知しているのかな? 教えていただいたトレンドマイクロのチェックツールも問題の2つのdllをチェックしているかどうかは ちょっとわかんなかったです。

その他の回答 (5)

  • aquiz
  • ベストアンサー率46% (759/1635)
回答No.6

「検知ツールは意味無いです」の意味するところですが、 検知ツールはウィルスに感染して、スクリプトなどの 実行ファイルに変えられたものを検知するのだと思います 上記2つのdllは、それぞれが参照、または利用されるライ ブラリのため、プログラムとはみなされないのでは? 参考URLにあるとおり、ネットワーク越しに送りつけられ ていた恐れがあったので、安全策として上書きの指示が 出されたと思います。私がシスアドならそうします。 機器が感染したかどうかを判断することが、検知ツール の目的であり、その手段としてオンラインツールや対策 ソフトが存在します。最後は人の手で処理するものと 思います。どうでしょうか?

参考URL:
http://www.trendmicro.co.jp/nimda/nimda_faq.asp
noname#41381
質問者

お礼

良きアドバイスありがとうございました。 >上記2つのdllは、それぞれが参照、または利用されるライブラリのため、 >プログラムとはみなされないのでは? > dllの扱いというのが自分の知識ではよくわかりませんが、 検知ツール作成者等からみたら、aquizさんの言われたとおりなのかな? 利用者からみたら「なぜ全部のファイルを検知してくれないの?」となりますが...。 >ネットワーク越しに送りつけられていた恐れがあったので、安全策として >上書きの指示が出されたと思います。私がシスアドならそうします。 > そうでしょう。 今考えても自分とこの管理者の対応は良かったと思います。 (どこからの情報か?という問い合わせは自分以外にも結構あったようですが...管理者も大変ですね ^ ^;) >最後は人の手で処理するものと思います。どうでしょうか? > 確かにそうだと思います。 ちなみに自分もそのタイプです。(笑) みなさんいろいろとありがとうございました。

  • sekiya-h
  • ベストアンサー率61% (1543/2514)
回答No.5

>感染していなくても2つのdllも正常なファイルで上書きコピーするという対応が必要だと思いますがどうでしょうか? 心配なら、そうされると良いでしょう。 どの位の間隔を空け、上書きコピーをされるのかわかりませんが?(月1回?週1回?毎日?) *シマンテックの場合、「駆除した後、riched20.dll の上書きだけで良い。場合により、Microsoft Officeを再インストールする必要も…」と説明されています。 ウイルスは nimda だけではありませんよね。新しいウイルスも発生しています。nimda の場合は1つ Dll を上書きするだけでよいが、類似したウイルスは必ず発生します。すべて個々に上書きコピーをしているのでは、仕事どころでなくなるのではないでしょうか。 会社のPCであれば、管理者に相談した方がよろしいのでは?もし、自分でトラブルを増やすとそれこそ部署の責任だけでなく、個人の責任にもなりますよ。 それほどに心配なさるのであれば、  IPA セキュリティセンター   http://www.ipa.go.jp/security/  SYMANTEC   http://www.symantec.com/region/jp/  MCAFEE   http://www.nai.com/japan/virusinfo/kujoguide.asp  Microsoft TechNet (Nimda ワームに関する情報)   http://www.microsoft.com/japan/technet/security/nimdaalrt.asp  やIT関連のHPをよく読んでみましょう。 >アンチウイルスは常駐しているので 常駐していても最新のウイルス定義にアップデートしなければ、新しいウイルスを検知してくれません。アップデートはしていますか?先日などは1日で数回新しいウイルス定義をアップデートしましたよ。 気を悪くしたら、すみませんが、ウイルスに対しては最新の情報を得ることが重要かと思います。

参考URL:
http://www.ipa.go.jp/security/
noname#41381
質問者

お礼

ご回答ありがとうございます。 いろいろとご指摘ありがとうございました。 >会社のPCであれば、管理者に相談した方がよろしいのでは?もし、自分でトラブルを増やすと >それこそ部署の責任だけでなく、個人の責任にもなりますよ。 > そうですね。ごもっともです。 ただ、特に自分でどうこうする訳ではなく、nimda対策に(感染の有無を問わず) 2つのdllの上書きコピー という手段が本当に必要か ということです。 どこの対策ページを見ても、検知ツール(たぶん2つのdllは検知しない?)を行うしか 書かれていません。(感染した時のみdllのコピーが必要) どうなんでしょうか? これで特に管理者にかみつこうなんて思ってないです^ ^;)

  • aquiz
  • ベストアンサー率46% (759/1635)
回答No.4

会社のPCでのことなのでしょうか?状況が不明なので なんとも想像できないでいます。気を悪くしないで下さい もし会社での会話からの出来事であれば、管理者からの 指示を無視する意向があるのでしょうか?納得できない ことはできないということではないですよね? そんなことではないと仮定して、admin.dllおよび riched20.dllを上書きする必要があるのはMSoffice 関連のアプリが誤動作する場合に必要かと思います。 そのことはsekiya-hさんが示しているURLを参考に。 ツールはどんな修復をするのか、また注意する点は どんなものか解説を冷静に読み取ることが必要です。 面倒に思って、自己判断に偏ると無駄な時間を過す ことになります。情報収集に時間をかけましょう。 あなたに指示を与えた方は、急を要する事態なので ゆっくり説明などしている暇はないのでむげに 対処しているのだと感じます。支持に従った上で、 落ち着いてからゆっくり説明を聞いてください。 今大切なのは、必要な処置を即座に実施して、 個人的な興味はその次に解き明かすことではないで しょうか? その点が心配なのでご忠告します。

noname#41381
質問者

補足

良きアドバイスありがとうございます。 >あなたに指示を与えた方は、急を要する事態なので >ゆっくり説明などしている暇はないのでむげに >対処しているのだと感じます。支持に従った上で、 >落ち着いてからゆっくり説明を聞いてください。 > 実は、指示を受けた時点で言われたとおり対応しました。 #この時は自分もnimdaについてよく知らなかったので、とりあえず言われたとおりに...。 その後ちょっと気になったので自分なりに調べましたが、nimdaの対策(感染していない時)として 「2つのdllを上書きする」という事を書いてあるサイトを見つけることが出来ませんでした。 ですので、この対応は果たして正しいのか?という疑問が出てきた次第です。 >今大切なのは、必要な処置を即座に実施して、 >個人的な興味はその次に解き明かすことではないでしょうか? >その点が心配なのでご忠告します。 > ご忠告ありがとうございました。 確かにその通りです。 ですので、まずは言われたとおり対策を行い、その後自分なりに調べています。 説明足らずで余計な心配までおかけしました。すみません!m(_ _)mヘ゜コ

  • sekiya-h
  • ベストアンサー率61% (1543/2514)
回答No.3

どちらで得た情報なのでしょうか。 nimda の検知は admin.dll や Riched20.dll だけを改ざんするのではないので、アンチウイルスソフトは、他のいくつかの改ざん等の組み合わせで判断しているのではないでしょうか。 各社、nimda 対応の定義は完成し、アップデートを勧めていますよね。ですから、Admin.dllとRiched20.dll 単独では検知出来ないかもしれませんが、nimda は検知出来るという事です。 ただ、駆除に対しては、#1の Kanata さんの仰っているとおり、Admin.dllとRiched20.dll は修復出来ないので、感染していないバックアップ、Microsoft Windows、Office .cabファイルのいずれかを使って正規のフィルで置き換える必要があると言うことです。 ただし、nimda のすべてを解明したわけではないので今後の展開はわかりません。 参照 ⇒ http://japan.cnet.com/News/2001/Item/010928-2.html?mn

参考URL:
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a%40mm.html
noname#41381
質問者

お礼

ご回答ありがとうございます。 >どちらで得た情報なのでしょうか。 > すみません。 自信満々に「ウイルスソフトで検知できない」と言ってくるので聞けませんでした。 たぶん感染した2つのdllを各nimda検知ツールで検索してみてダメだったので 「検知ツールは意味無い」と豪語しているのでは と思っています。 >各社、nimda 対応の定義は完成し、アップデートを勧めていますよね。ですから、>Admin.dllとRiched20.dll 単独では検知出来ないかもしれませんが、 >nimda は検知出来るという事です。 > そういうことですよね。 この2つのdllだけ他にコピーされることは、手動で行わない限りありえない ということですよね? でも、たまたま2つのdllを含んだものをコピーしてしまう事があるかもしれませんよね。(他のnimdaファイルは含まない) この2つのdllのみでnimdaが動作するかは不明ですが、もしnimdaが活動できるとすると 後で「感染していました」ということになり、自分の部署の責任問題になってしまいます。 #もちろんアンチウイルスは常駐しているので、他への感染はないです。 #しかし、徹底的に対応している企業等では、「感染」ということに結構シビアな所も多いのでは? となるとやはり検知ツールだけでなく、感染していなくても2つのdllも正常なファイルで上書きコピーする という対応が必要だと思いますがどうでしょうか? (この対応を載せているサイトはあるのかな?)

  • selenity
  • ベストアンサー率41% (324/772)
回答No.2

安全を求める/どうしても心配でたまらない というのであれば、OSの再インストールをするべきでしょう。 もちろんHDDはローレベルフォーマットから、、、 チェックツールの結果が大丈夫なのであれば、あまり心配する必要はないように思えますが、、、

noname#41381
質問者

補足

回答ありがとうございました。 ですが、今回は感染したかどうか不安 というわけではなく、 「nimdaがadmin.dllやRiched20.dllに感染する にもかかわらず、この2つのファイルを チェックするツールが存在しない」 と言うのは本当なの?ということです。 もしそうであれば、チェックツールの結果を信じている人はまだ危ないことになると思うのですが...。 どうなのでしょう?

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • riched20.dllの消し方、ご存知?

    流行の「Nimda」に感染しました・・・既に、トレンドマイクロ社のワクチンソフトは 実行しましたが、「riched20.dll」のみ消えません。健全なファイルに上書きすれ ば良いみたいなのですが、これがどうにも上手くいきません。ライトプロテクト 状態なのです。 なにか良い方法はないでしょうか?

  • なんどウィルスチェックでNIMDAがヒットしてしまうんですが・・。

    自分のノートPCを会社でネットワークして使っていたのですが、あのNIMDAウィルスの発覚したい日に例にもれずうちの会社もウィルスに感染し、その翌日にはワクチンで消滅させ、IEのヴァージョンアップ、OUTLOOKの設定変更などのNIMDAに対する手段は全てしました。また定期的にワクチンをかけてますがNIMDA自体見つかりません。ところがウィルスバスターを週1下記自動的にスキャンさせているのですが必ずNIMDAウィルスがヒットしてしまいます。できたらOSの再インストールはしたくありませんが、この現象はなんなんでしょう?

  • RICHED32DLLが壊れた

    ウィルス(Nimda)にやられて、駆除ツール(Fixnimd)で処理し再起動して ワードパッドを起動しましたら、 RICHED32.DLL が壊れているとの警報 が出てしまいました。システムCDからロードすればよいのでは、と思いますが 具体的な方法が分かりませんので、教えて下さい。OSはWindows98se です。

  • AvastでBackdoor.NetDevil検知されない?

    はじめまして、アンチウィルスソフトとして Avast!4.6HomeEditionを使っています。 ですがBackdoor.NetDevilに感染しました。 感染後にシマンテックの オンラインスキャンをしたところ 感染ファイルが2つ発見されたのですが Avastでは検知されませんでした。 AvastではBackdoor.NetDevilは検知されないのでしょうか? フリーウェアだからでしょうか? わかる方がいれば宜しくお願い致します。

  • Symantec「検知」と「感染」の相違について

     私はSymantec社のNorton Internet Security2004(OEM版)を使用しています。毎週木曜日か遅くとも金曜日にLive Updateをして、「システムの完全スキャン」をしています。 とあるHPで「OnlineVirusScanすべき」と書いてあったので 「システムの完全スキャン」をした後(ウィルス検出されず)Symantecのオンラインスキャンをしたところ 「Temporary Internet Files」内で「Bloodhound.Exploit.5」が2つ検知されました。 ただ、「ウィルスは感染していません」と同時にでていました。 不思議に思って詳細を表示しようとしましたがHPがBesy状態で見れませんでした。 Symantecのウィルス辞典で調べるとその「Bloodhound.Exploit.5」は「トロイの木馬」タイプだとありました。 あわててIEのクッキー、ファイル、履歴を全てクリアにして もう一度Symantecのオンラインスキャンをすると検知されませんでした。当然、感染もしていません。 Nortonのヘルプで「検知」を検索しても「侵入検知」ぐらいしか出てきません。 「検知」と「感染」はどう違うのか、 また「システムの完全スキャン」をかけて「異常なし」と出た直後なのにオンラインスキャンでは「検知」と出たのが不思議です。 (どちらも同じSymantec社なのに) こちらのサイトで検索すると「ノートンも万能ではないから」といった結論に達しそうなのですが・・・? 件名:トロイの木馬? http://bekkoame.okweb.ne.jp/kotaeru.php3?q=640669 件名:ノートン2002の『ウイルス警告』 http://bekkoame.okweb.ne.jp/kotaeru.php3?q=621697 上二つの質問に対する回答ででPC-GATEさんが 「NISも万能ではなく、怪しいスクリプトなどに誤反応する場合もある」 と書いていらっしゃいます。

  • ウイルス検知能力について

    ノートンのオンラインスキャンで (1)「VBS.Freelink.B」 (2)「Unix.Penguin」 (3)「Network.E」 なる3つのウィルスの感染があるとの結果が出てしまいました。 急いでウィルス対策をしなければと思い、店頭で(手頃価格の)「ウイルスセキュリティ」を即決購入、 さあ駆除してやるぞ!と思ったら、検知されませんでした・・・(涙涙) 今後のアップデート等で検知できるようになるものなのでしょうか? 宜しくお願いいたします。 ノートン製品等に入れ替えなければだめでしょうか・・・。ウィルスの危険度は低いようなのですが・・・。

  • ウィルススキャンで検知されたファイルの削除

    マイコンピューター→Cドライブ→windowsのフォルダを 開くと、セキュリティソフト(ソースネクスト)が msrstrt.exeという感染ファイルを検知しました隔離しましたと表示されました。 でも、どこにあったファイルか 解らないので、シマンテックのオンラインスキャンで スキャンしたところ、今度は、 C:\WINDOWS\system32\GTRun.ocx は Adware.Winshow に感染しています。 と表示されました。 で、削除する前に、ソースネクストのセキュリティソフトで、C:\WINDOWS\system32をスキャンしてみると ウィルスは検知されませんでしたと結果が出ました。 質問 1.仮に二つの感染ファイル  msrstrt.exeとGTRun.ocx があったとして ソースネクストの方が隔離する前に、シマンテックで スキャンしていた場合、二つの感染ファイルを検知 していたでしょうか? すなわち、隔離していたから シマンテックのスキャンで、msrstrt.exeは検知 されなかったのでしょうか? 2.msrstrt.exeは、ファイル検索して探しましたが 検索結果に出てこないので、ソースネクストのソフト上の オプションの隔離されたファイルの管理で駆除をクリック しても、何のアクションもないので削除しました シマンテックで検知されたC:\WINDOWS\system32\GTRun.ocx は、Windowsのフォルダを開いて、削除しました。 ★長々と書いてすみません 一番知りたいのはウィルスの駆除とか削除とは 最後に書いてるようにフォルダから感染ファイルを 削除(ごみ箱へ入れごみ箱を空にする)だけで、 駆除、削除した事になるのでしょうか? よろしく御教授お願い致します。

  • ウィルスソフトの特徴

    ウィルスソフトで有名と言えば TrendoMicro: ウィルスバスター Symantec: ノートンアンチウィルス 日本ネットワークアソシエイツ:MCAFEE これらのソフトの特徴を教えて下さい。 利点、欠点等

  • インストールが完了しなかったのはウイルスが原因?

    Riched32.dllという表示が出てウイルスバスターの2007がインストールできませんでした。以前にマイクロソフトのオフィスをインストールしようとしたときはRiched20.dllという表示でした。もう更新期間が過ぎてしまっているので早くと思っているのですが、ウイルスが原因ならばリカバリしか方法はないでしょうか?リカバリならマイドキュメント等のデータをCDの保存しようと思いますが、これもウイルスに感染している可能性がありますか? すべてのプログラムを見たときにmovcat?とかいうソフトの容量が4000MB ありびっくりしましたがこれも差しさわりがありますか?

  • NortonAntiVirusがウィルスを検知したんですが。

    ノートンアンチウィルスがウィルスを検知しました。 落としたものは、 http://www.bucchi.mydns.jp/ にある、デーモンツールのdt346.exeというファイルです。 実行せずに、急いでゴミ箱にいれて削除したのですが、もうすでに私のパソコンは感染してしまってるのでしょうか? ダウンロードしただけで、勝手に実行されてしまうウィルスもあると聞いたことがあったので、心配で心配で仕方ありません。 一応三回くらい再起動してみたのですが、今のところ何の変化も感じられませんが、どこかに眠っていて、時間がたったら悪さをし始めるとかあるのですか? 軽率な行動に反省しています。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する