バックドア対策方法とMSEの検疫状態について
- バックドアの対策方法とMSEの検疫状態について教えてください。
- MSEで検疫状態になっていても、バックドアに感染したものと考えるべきでしょうか?
- バックドアの種類や過去の削除したウイルスを検索する機能はあるのでしょうか?
- ベストアンサー
バックドアに感染?
バックドアの対策について教えて下さい。 私はアンチウイルスソフトとして、Microsoft Security Essentials(MSE)を使っているのですが、本日、MSEを開いたところ、「履歴」タブに2つのバックドアが検疫されていることが分かりました。 (検疫:実行しないように指定されたが、PCから削除されていない項目) MSEは常時監視モードにしているのですが、今回手動で開く前には一切アラーム等は発生しませんでした。 検疫されていたファイルは外部からダウンロードしたソフト名が記されていたので、そのソフトから感染したものと思われます。 バックドアであることは確認したのですが、ビックリしたものですから、直ぐに検疫されたファイルを削除してしまい、バックドアの種類は記憶しておりません。 その後、バックドアの恐ろしさをネット検索で知り、当該パソコンはネットから切り離しました。 (今は別のパソコンから質問を書いております) しかし、誤検出の場合も結構ある、という情報もあり、何をどこまで対策していいのか分からない状態です。 そこで、質問なのですが、MSEで検疫状態になっていても、やはりバックドアに感染したものとして考えるべきなのでしょうか?また、バックドアの種類や各種情報を確認したいと思っているのですが、MSEに過去に削除したウイルス等を検索する機能はあるのでしょうか。 (ネットで調べたのですが、情報が見つかりませんでした) 特に、前者の質問(検疫状態と感染の関連)について知りたいと思います。 その他、何かしら参考となる情報がありましたら、ぜひ教えて下さい。 よろしくお願い致します。
- Saitar
- お礼率79% (59/74)
- ウィルス・マルウェア
- 回答数6
- ありがとう数6
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
nekoboxです。 処理済ですから特にすることないです。 あとは先に私が示した「基本重要対策」守るように。MSEのような単体アンチマルウェアだけじゃ乗り切るの厳しいです。 --------- FEX2053が追加返答しなかったらとんだ知ったかってことになるよねw。こりゃ見物だわw。
その他の回答 (5)
- nekobox
- ベストアンサー率49% (195/397)
>もともと、セキュリティホールなんてバックドアが作っているものだから、 本体を削除してしまえば、問題ない はい、その通りです。 ただ、本来セキュリティーホールと言ったら一般的にはOSやアプリケーションソフトのプログラムにおけるセキュリティー上の欠陥を意味します。拡大解釈でバックドアによる侵入口もセキュリティーホールと言えばそうかもしれませんが、第一義的にはプログラムにおけるセキュリティー上の欠陥を意味します。 ちなみに、バックドアというのはクラッカーがセットするその名の通り裏口ですが、裏口と言ったって当然ながら物理的に通用口を設けるとかではなく、ネットワーク通信におけるコネクションの確保ですよね。コネクションというのは仮想通信経路です。 で、最近のバックドアによるコントロールでは実はクラッカー側からターゲットマシン(感染マシン)に接続しに行くわけではないんです。こうした順方向接続ではルータなどで弾かれてしまう可能性が高いからです。そこで、ターゲットマシンからクラッカーサイドのマシンに接続しにいくリバース接続を行うのが一般的になっています。これですと、ターゲットマシン側から見るとアウトバウンド通信になるのでルータを容易に通過できます。一般的にルータではアウトバウンドは素通しがほとんどです。 それと、私が先に示したURL先の内容は読めばわかります。 --------- ちなみに、#4さんは今回の事案がステルス(Rootkit)絡みだと何故判断できたのでしょうか。不思議です。ルートキットスキャンをスレ主に勧められて何かしら結果が得られたとかならともかくね。Hidden Objectのからくりとかご存知ならどうぞスレ主さんを導いてやって下さいなw。
お礼
ありがとうございました。
補足
回答を頂き、ありがとうございます。 イベントビューアーの確認により、検疫されたバックドアは、 Backdoor:Win32/Ursap!rts という名前であることが分かりました。 ネットで調べてみると、このバックドアは2011/7頃に作られたもので、ネットの記事からはwindows7には元々感染しないのではないか、とも思われました。いい忘れましたが、私のPCはwindows7です。 当該バックドアはwindows7でも感染の可能性はあるでしょうか。また、先に回答を頂いたようなステルス機能についてもこのバックドアに関して情報をお持ちでしたら、ぜひ教えて下さい。 先に大丈夫だ、とのアドバイスを頂きながら、情報漏洩が恐ろしく、未だにPCをネットから外したままにしております。具体的に検疫されたバックドアの名前が分かったことから、このバックドアの影響が例えば、windows7にないなら、より安心してネットに繋げるものと期待しております。 何度もすいませんが、宜しくお願い致します。
- FEX2053
- ベストアンサー率37% (7987/21355)
#2さんの言われるように「再セットアップ」は必須では無いです。 ただ、この手のバックドアを仕掛けるプログラムは、確かにOSに 影響は与えずに単独で動作はしますが、ステルス機能があって、 普通に検索して見つかるものじゃないんです。セキュリティソフトの 「駆除」「隔離」が信用できないなら、#2/3さんのような、その手の 「知識」と「スキル」が無いと、簡単には削除できません。 実際、一旦PCに潜り込むと、その手のウイルスは、その後にイン ストールしたセキュリティソフトでは検索できないような仕掛けを 施しますからね。OSの検索なんぞ、誤魔化すのは当然です。 ということで、「そこまでする必要は無い」事は確かなのですが、 「何も考えず再セットアップするのが、素人には結局速くて確実」 なんです。逆に言えば、再セットアップせずに頑張るには、それ なりの勉強と調査が必要ですよ・・・ということでもあります。 ・・・少なくとも、#2/3さんの挙げたURLは理解できないと(苦笑)
お礼
ありがとうございました。
補足
ステルス機能っていうのはかなり怖いように思いますが、やっと検疫できたバックドアを特定できました。 windowsのイベントビューアーでは、 Backdoor:Win32/Ursap!rts という名前になっています。このバックドアはご指摘のステルス機能を有しているでしょうか? ご存知であれば、ぜひ教えて下さい。
- nekobox
- ベストアンサー率49% (195/397)
すいません、nekoboxです。 あの、私つい最近MSEテストしてて気づいたんですけど、クラッカーはいつも言ってるように対策ソフト対策してくるわけですが、 MSEは下の画像で示す難読化ツールを使った難読化にまったく対抗できないようですね。ちなみに最新verですけど。このツールその筋の世界ではかなり有名なものでして現在でも継続的にアップデートされてるようです。 こういうのは実際に自分でやってみるとわかります。本当に検出されなくなるかどうかね。もちろん、固有名詞はお教えできませんが。 で、私がいつも言ってるように、今はもう単体アンチマルウェアソフトだけではどうにも対抗できないですよ。マルチエンジンのスキャン回避も難しくなくなってますので。 [重要基本対策] http://www.forest.impress.co.jp/lib/inet/security/antiadspy/secuniapsi.html http://support.microsoft.com/kb/2458544/ja Microsoft Update ブロードバンドルータの使用 有力総合対策ソフトの使用(include HIPS or Behavior Blocker) クリーン状態のシステムバックアップを定期的に取る JRE(Java Runtime Environmen)をインストールしてたら即刻アンインストール ※ 今は脆弱性を放置しておくと、普通にWeb見るだけで感染する可能性あります。←この認識が無いひとはネット使うべきではないと言えるほど重要。 http://itpro.nikkeibp.co.jp/article/COLUMN/20120817/416402/
お礼
ありがとうございました。
- nekobox
- ベストアンサー率49% (195/397)
こんにちは。 >MSEで検疫状態になっていても、やはりバックドアに感染したものとして考えるべきなのでしょうか? いえ、感染はしていません。#1が言うような再セットアップなんて必要ないです。 で、別にバックドアはOSに取り付くわけではありません。単にOS上で動くプログラムです。 あと、↓ http://www.microsoft.com/security/portal/Threat/Encyclopedia/Search.aspx?query=backdoor
お礼
補足への回答を頂き、ありがとうございました。
補足
ご回答頂き、ありがとうございます。 再セットアップが必要ないという情報は初めて拝見しました。 私が調べた範囲では、仮にバックドアに感染した場合はそれ自体を削除しても、 セキュリティホールが残ってしまい、そこから不正アクセスされてしまうので、 根本対処のためには再セットアップが必要、というものが多いのですが、この セキュリティホール残置説について、ご見解を頂けると有難いです。 (もともと、セキュリティホールなんてバックドアが作っているものだから、 本体を削除してしまえば、問題ない!等) もちろん、頂いた情報は参考とするのみであり、具体的な対処は自己責任で実施 致します。 もし、許されるなら上記についてコメントを頂けると幸いです。
- FEX2053
- ベストアンサー率37% (7987/21355)
バックドアを仕掛ける広義のウイルスは世界中に蔓延しており それが「検疫」されたからと言って、即「感染」ではありません。 多くはセキュリティソフトで弾かれてしまうんです。 また、最近はしばしば「誤検出」もあり、検出されたからと言って それが「ウイルス」であるかどうかも定かではないですし、最近 の悪質なウイルスは、あなたの情報ではなく、あなたを踏み台 にして、他の「お金がある所」にアクセスするだけ、って場合が 普通で、何かするまでに時間差がある事が多いんです。 MSEは、検出力がそれほど高くないセキュリティソフトですが、 まずは「検疫」されたソフトの種類をチェックし、それがどの程度 問題があるものか確認された方が良いですよ。「バックドアを 仕掛けるウイルスが混ざっている場合がある」だけのことも結構 多いんですから・・・。 ということで、90%位の確率でそれは「ウイルスが正常に弾か れた」だけだと思います。 気になるなら、データを退避して再セットアップすれば、最近の ウイルスはすべて消えてしまいます。下手にOSに取り付いて PCを不調にすると「踏み台」の役目を果たしてくれませんから。 ちなみにMSEの検出ログは、イベントビューワーに残ってた記憶 があるんですが、これ、チェックが大変なんですよね・・・。
お礼
回答を頂き、ありがとうございます。 90%ですか。。。高いような全くダメのような微妙な数字ですね。 ネットを検索しても、ご指摘のように再セットアップを推奨する 書き込みが多いので、いざ、と思っているのですが、再セットアップ 環境を揃えるだけでも困難な状況から躊躇してネットから外しっぱなし にしている状況です。 本当に困ったものをばら撒くやつらを呪いたいです。。。 なお、No.2さんから再セットアップの不要説を教えて頂きましたが、 これについてもしご見解をお持ちでしたら、教えて頂けると助かります。 今回はどうもありがとうございました。
関連するQ&A
- 感染してるかわからなくて困ってます↓↓
ウィルス履歴にウィルスがあって、 適用した処理:放置、検疫 状態:感染 となっています。無知だったので怖くなってウィルス履歴から永久削除をしたのですが、 現在の場所:検疫 のままです。検疫を開いても何にもないのですが、この場合感染してるってことですか?感染してるとしたら対処法を教えてください!お願いします。ちなみにウィルスの種類は以下の二つです。 MHTMLRedir.Exploit Bloodhound.Exploit.21
- ベストアンサー
- ウィルス・マルウェア
- バックドア型ウィルス
バックドア型ウィルス(トロイの木馬)というものが感染すると、ハッカーが侵入しやすくなるという事を聞きました。以前、手違いで一時的にウィルス駆除ソフトが入っていないときがあって、もしその時に不正進入されていると思うととても恐ろしいです。 その時はファイヤーウォールをつけ、ルータも設置していたのですが、ウィルス対策はしていませんでした。 もしその時バックドア型ウィルスにかかったら、ファイヤーウォール(不正進入対策)をしていても進入されてしまうんでしょうか? 今はウィルス対策は完全におこなっているんですが・・
- ベストアンサー
- ウィルス・マルウェア
- 緊急 バックドア型と思われるウイルスに感染
Virus found IRC/Backdoor.Flood というウィルスに感染しました。 名前から見てバックドア型だと思います。 とりあえず隔離しましたがこの先大丈夫でしょうか?(不正アクセス等) とりあえずルータはかませてあるのですが。。。。 検索してもウィルスの正体がいまいちわかりません。アドバイスお願いします。 AVGの有料版(トライアル)で検出しました。
- ベストアンサー
- ウィルス・マルウェア
- ウイルスに感染
先日騙されて HPを踏みました なんか怪しいなとは心の中ですこし思っていたのですが まあウイルスバスター2007常駐起動してるし大丈夫だろと 思って踏みました。 すると何語かわからない文字が並び、画面がピカピカ光りました。 すぐに役立たずウイルスバスターの緊急ロックをかけ LANケーブルを引っこ抜き すぐさまウイルス・スパイウェア検索をしたところ4件ウイルスが 見つかりすぐ削除したのですが本当に削除されてるか心配です。 HPのURLから見る限り”バックドア”とはわかりましたが バックドアだけで検索しても多すぎて調べられないので 私のPCが感染したバックドアの詳しい名前(?)、できれば駆除方法も教えていただければ幸いです。お願いいたします。
- 締切済み
- ウィルス・マルウェア
- ウイルス感染、その後・・・
ウイルスへの感染が初めてで、対処の仕方がよく分かりません。 ご伝授願います。 <使用環境> OS:Windows XP ウイルス対策ソフト:Symantec AntiVirus <状況> USBフラッシュメモリを通じて、 「Trojan Horse」というウイルスに感染したようです。 感染先は、 C:\Documents and Settings\(ユーザ名)\Local Settings\Temp\ というフォルダです。 ウイルス対策ソフトでは、「検疫」された状態になっています。 これをクリーニングや永久削除しようとしても削除できません。 部分的にクリーニングなどとなっています。 サポート先のHPを見て対処法を見てみましたが、 レジストリの変更などについて専門的な知識がなくよく分かりませんでした。 http://securityresponse.symantec.com/ja/jp/security_response/writeup.jsp?docid=2004-021914-2822-99&tabid=3 単にウイルス対策ソフトで検疫されただけでは、安全とは言えないのでしょうか? OSの再セットアップしかないのでしょうか?
- 締切済み
- ウィルス・マルウェア
- バックドア
インターネット接続がおかしいので、a-squaredでウイルス検査してみたところ、一台のPCからバックドアが検出されました 環境は モデム - ルーター 1.検出されたPC xp home xp3 nod32 |_ 2.xp home xp3 デフォルトゲートウェイ kis7 | |_ 3.xp home xp3 ワイヤレス kis7 となっています 今回インターネット接続がおかしいというのは、2のPCのデフォルトゲートウェイが消えてしまっていました インターネットは使えるのですが、レンタルサーバーにFTPログインできないなどがありました 1のPCにファイヤーウォールソフトを入れると、いろんなソフトを試しましたがこれもまた他のPCの接続を遮断してしまって、しょうがなくFWソフトのないnod32だけを入れていた状態でした 一応検出されたバックドアは駆除できたと思うのですが、まだ危険だったらリストアしようと思うのですがどうでしょうか? また今後のバックドアの対策はどうしたらよいでしょうか?
- 締切済み
- ウィルス・マルウェア
- ウイルスに感染!でも・・・
先程、我が機に名誉ある第1号ウイルス(笑)が感染していたのですが、今までウイルスに関してはほとんど知識が無く、少し困っているので、力を貸していただきたいです。感染したウイルスの方は削除しようと思ったのですが、うまくいかず、検疫にて待機している状態です。そのため、このウイルスはどこから来て、どこのファイルに感染した物かを見つける手段はあるのでしょうか?よろしくお願いします。
- ベストアンサー
- ネットワーク
- ウィルスに感染してしまったのでしょうか
ウィルス対策としてノートンアンチウィルスを使っています。 outlookで受信した時、感染しましたと出ました。 検疫できませんでした。削除しますか。とあったので、削除しました。 そのウィルスメール自身も削除したんですが、それで大丈夫なんでしょうか。 現在、ウィルススキャンを実行中なんですが、時間がかかってるんで、 心配です。 もし、感染していたなら、outlookのアドレス帳は空に、内容をエクセルにコピーしているんですが、そのアドレスさえも利用されてしまうことはあるのでしょうか。 また、Outlookの設定で、セキュリティは際上級に、プレビューウインドウは 開かないように、添付は開かないようにと設定していたのにも 関わらず、このような事になったのは、どうしてでしょう。 HTMLメールを受け取れるメールソフトだからなんでしょうか。 よろしくお願いします。
- ベストアンサー
- ウィルス・マルウェア
- ウイルス感染しました。至急助けてください
yontoo-c4-.exeというファイル名の感染が確認されました。 現在の状態は「感染」 一時処理は「検疫」 二次処理は「放置する(ログのみ)」、 適用した処理「部分的」 検疫が部分的に完了しました。 となっております。 その後、シマンテックのウイルスソフトを最新の状態にしてから完全スキャンを行いましたが、特になにも出てきません。 しかし、検疫の表示という部分には未だ上記のようになっております。 解る方、今後どうしたら良いか教えてください。
- ベストアンサー
- ウィルス・マルウェア
- ウイルスに感染して・・
早速ですが、質問させていただきます。 私の使っているPCはWinのMeです。 ノートンのインターネットセキュリティ2004をいれています。 今日もセキュリティファイルの更新をしたばかりなのですが、Norton AntiVirusが「ウイルスに感染した」と警告を発してきました。 ウイルスは、VBS.Redlof.A のようです。 今は検疫をし検疫項目の方に感染ファイルは移動し、コンピューターは今までどおり使用できますと文章が出たので使ってるんですが、この感染ファイルは修復して元の場所に戻すようしなくちゃいけないんですよね? しかし修復してみても、ファイルを修復出来ないんです。 もちろん削除も出来ないんですが、これから一体何をしたら良いのでしょうか?どうしたらいいのかわからず、画面前で説明書を手にオロオロしている状態です。 どなたかご助言いただけたら嬉しいです・・・!!! あと、感染ファイルを検疫項目に入れておけば他に被害は広がらないんですよね?とにかくウイルスに感染したのが 初めてなものでよくわかりません・・ どうかよろしくお願いします!!
- 締切済み
- ウィルス・マルウェア
お礼
回答頂き、ありがとうございます。 パソコン暦は長いのですが、実際にウイルス(マルウェア)に遭遇するのが初めてで(今までが運が良かった?)必要以上に怖がっているようですね。 nekoboxさんのお陰で随分と安心しましたが、この機会に他にも情報を頂ける方がいることを期待しまして、もう少しこの質問を開けておきたいと思います。
補足
質問を上げておくつもりでしたが、これ以上不安を抱えているもの考えものですので、ここで本質問を閉じさせて頂きます。今回はどうもありがとうございました。