WindowsXPのSP3を使用、IEを7.0(7.0.5730.13)へアップグレードしているのですが、
何かの拍子にKasperskyから「EXPLORER.EXEのファイルが変更されていますが通信を許可しますか?」
というメッセージが表示され、ポップアップ画面に表示されているバージョンを
確認すると"6.00.2900.5512"と古いもの?である為、現れる度に遮断するようにしているのですが、
これは許可してしまっても構わないものなのでしょうか?
この頃、IEの通信が許可されていることをウイルスが利用しているという話を聞くので心配です。
投稿日時 - 2008-09-13 19:01:46
こんにちは。
私はクラッカーコミュティー巡りや対策ソフトの性能テストなどをしております。
遮断でいいと思います。
当方は今だにIE6ですが(というより、IE自体あまり使わない)、7や8にしてもエクスプローラ自体は変わらないと思います。
そもそもそのダイアログってProactive Defenceのアラートですよね?
エクスプローラ自体にはネットワークアクセス機能はありません。
エクスプローラへの注入を経由してブラウザなどを起動し通信を行おうとしている可能性はあるかと思います。
>いえ、それが遮断を選択した後もフォルダも開ければサイトも閲覧できています。
これはこのポップアップによる変更及び通信を遮断してるので、通常のシーケンスによる通信は当然できます。
正直申し上げて、当方では7や8へのアップデートを経験してないのでイマイチ掴みきれてないです。なので、サポセンを頼るのが一番手堅いかと。
投稿日時 - 2008-09-13 23:32:04
補足
追記するところが無いため、こちらへ報告して回答を閉めさせていただきます。
サポートセンターさん側の回答としては、9月10日のwindowsupdateによってこのメッセージが表示された方が沢山いる可能性があるとのことで、
迷った場合は拒否を選択、その後支障が出るようであればそれは許可すべきメッセージであるという回答でした。
ウイルスかどうか何とも言えないところですが、再起動後にExplorer.exe絡みのメッセージが連続して大量に表示され、
全て拒否を選択した後に再起動すると何事も起こらず、拒否した
メッセージ絡みのアプリケーションを起動しても問題無く動作している辺り、
やはりこれは怪しいのでOSの再インストールをしようと思います。
Riven_2008さん、そしてwamos101さん、ryu-fizさん、
丁寧な回答を有り難うございました(感謝
投稿日時 - 2008-09-18 21:58:33
お礼
>そもそもそのダイアログってProactive Defenceのアラートですよね?
都合のいい話ですが…「ファイルの変更がされています」というような表示が出ていたのを思い出しました。
Proactive Defenceからのもので間違いないと思います。
私自身、その方面のことは想像するぐらいで知識は未だこれからなのですが、
エクスプローラを足掛かりにする方法もあるのですね…勉強になります。
無駄なことになるかもしれませんが、セキュリティレベルを推奨から引き上げた状態で
様子を見つつ、サポートセンターに問い合わせてみます。
前々回や前回や今回のことでセキュリティが甘いことを思い知らされました。
Kasperskyのサイトなどを読み漁り、前回より少しぐらいは技術を身に付けようと思います。
回答を有難うございました。
投稿日時 - 2008-09-14 00:44:00
0人が「このQ&Aが役に立った」と投票しています
ベストアンサー以外の回答(2件中 1~2件目)
う~ん…もし『EXPLORER.EXEのファイルが変更されて』いるのであれば、通信を遮断するだけで済む問題じゃあない、と思うのは私だけでしょうか??
『もうやった』と言われればそれまでですが、VirusTotal辺りにそのEXPLORER.EXEを送って検査してもらったほうが良いように思いますが。
http://www.virustotal.com/jp/
何らかのかたちで検出出来ているエンジンがあるようでしたら、同じベンダーのオンラインスキャンを実行してみると何か分かるかも知れません。
カスペルスキーの性能の高さが折り紙つきなのは疑いのないところですが…完璧ということはあり得ないですし、場合によっては他社製にも秀でたところがあるかも知れません。
まぁ、しっぽすら掴めないようでしたら、リカバリをお勧めします。得体の知れないものがそのまま、という状態でPCを継続利用するというのはやはり…ですね。
安全にリカバリを進めるためには、次のURLを参考にしてください。
http://iwata.way-nifty.com/home/2004/10/1017.html
いきなりリカバリは…ということなら、ここを締め切った上でhigaitaisaku.comの質問掲示板に移動。
http://www.higaitaisaku.com/
昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。同様な感染を防ぐために次のような点に注意してください。
1)各種アプリケーションソフトのセキュリティ更新を怠らない。
Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点=脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、
・Firefox、Operaなどのブラウザ。
・Sun Java 仮想マシン(JRE)。
・Flash PlayerやShockwave Playerなどのプラグイン。
・Real Player、QuickTimeなどのメディアプレイヤー。
・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。
最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。
http://internet.watch.impress.co.jp/
http://www.itmedia.co.jp/enterprise/security/
こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。
2)標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。
IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。
でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。
http://www.mozilla-japan.org/products/firefox/
http://jp.opera.com/
もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。
もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。
http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html
制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。
なお、Windows Vista上のIE7では、感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点=脆弱性の影響には十分注意しなくてはいけません。その辺は1)で説明した通りです。
XP上のIE7には、感染を防ぐという意味での利用価値はあまりないように感じられます。そういう意味では、VistaのIE7とは別物と考えるべきです。感染をブラウザから防ぐという意味では、XP環境下だとやはりFirefox辺りを使うべきです。
投稿日時 - 2008-09-15 01:28:07
補足
ついさっきの出来事です。
Operaのインストールファイルをダブルクリックした後に
例のポップアップが表示されたので、PrintScreenして確認してみたところ、
赤い枠表示でタイトルは「ファイアウォール」、その後に
実行ファイルが変更されています
最終スキャン以後、ファイルは変更されています。ソフトウェアのバージョンアップかウイルス感染の可能性があります。ネットワークへの接続を許可しますか?
プロセス名: EXPLORER.EXE
プロセスID: XXX
会社名 : Microsoft Corporation
バージョン: 6.00.2900.5512
選択肢は許可と遮断が表示されていました。
どうやらこちらで誤情報を伝えてしまった模様です…すみませんでした。
ひとまずサポートセンターから返信があった時に、これを渡してみようと思いますが、大分雲行きが怪しくなってきた模様です…
投稿日時 - 2008-09-16 00:05:35
お礼
wamos101さんのアドバイスより、「EXPLORER.EXEが変更されました、許可しますか?」
というポップアップが作業中に定期的に現れるというケースが報告されているか、
サポートセンターに問い合わせをしておきました。
VirusTotalに検査してもらったところ、結果: 0/36 (0.00%)と表示されていましたが
安心できないのが正直なところで、リカバリはサポートセンターさんの返事次第ですが、
ウィルスではないという根拠が示されない限りはリカバリしようという心づもりでいます。
教えていただいたサイトは参考にさせていただきます。
Firefoxはどうもタブ群をサイドバーに上手に収めてくれるようなアドオンが見つからず
Sleipnirを常用していますが、ReducedPermissionsを導入、Operaも一度入れて色々模索したいと思います。
回答を有難うございました。
投稿日時 - 2008-09-16 00:05:16
>Kasperskyから「EXPLORER.EXEのファイルが変更されていますが通信を許可しますか?」
これは、許可して下さいです。
でないと使えませんよ。
それと、初心者の方であればカスペは少し難しいかも知れませんね。
投稿日時 - 2008-09-13 20:16:25
補足
情報が不足していると思われるので補足しておきます。
IE7時にWindowsフォルダ内を検索してバージョンを調べてみたところ、
ポップアップに表示されていたものと同じ「6.00.2900.5512」、
IE8にした後に確認してみたところ、変更はありませんでした。
またEXPLORER.EXEのあるフォルダは
C:\WINDOWS
C:\WINDOWS\$NtServicePackUninstall$
C:\WINDOWS\ServicePackFiles\i386
となっています。(C:\WINDOWS内のファイルの更新日時は2008年4月XX日)
まだ安心は出来ませんが、偽装されたEXPLORER.EXEはXPではSystem32フォルダ内に
作られる模様?なので、ウイルスである可能性は薄いのかもしれません。
投稿日時 - 2008-09-13 22:02:38
お礼
>でないと使えませんよ。
いえ、それが遮断を選択した後もフォルダも開ければサイトも閲覧できています。
以前にも似たような事があり、許可した後に動作が重くなった挙句
起動後1分も持たずにフリーズするようになっていた為
(その後OSは再インストールすることに。)、妙に気になるのです。
IEのバージョンを上げた時、「EXPLORER.EXE」のバージョンもまた上がるのか
が(例えばIE8にしたらEXPLORER.EXEのバージョンも上がるなど)判れば、
ウイルスかどうかのヒントの一つにもなると思うのですが…
ひとまず遮断を選択しても使用出来ていますので、
Kaspersky使いの方でその辺りの事情に詳しい人の回答や質問を待ちます。
回答有難うございました。
投稿日時 - 2008-09-13 20:53:48
