• ベストアンサー
  • 困ってます

トロイの木馬に関して

私はノートン・アンチウイルス2005を使用しています。 2005年5月にパソコンを触っていると、いきなりsys.exeというプログラムが大量に起動しました。 不審に思い、ウイルススキャンを行った所、何も検出されませんでした。 そこでsymantecにこのsys.exeを提出したところ、「Backdoor.Trojan デベロッパーノート」に感染している、との結果が出ました。 (sys.exeはC:\WINDOWS\WinSxS\Policies\x86\フォルダにありました。) このBackdoor.Trojan デベロッパーノートは「山田ウイルス」や「山田オルタナティブ」と関係があるのでしょうか? また、私はノートン・インターネットセキュリティ 2005も合わせて使用し、ファイアーウォール対策も合わせてしているのですが、これで私のパソコンのファイルが流出する...と言う事は無いですか・・・? よろしくお願い致します。

共感・応援の気持ちを伝えよう!

  • 回答数5
  • 閲覧数165
  • ありがとう数7

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.5
  • doki2
  • ベストアンサー率51% (440/860)

SQL とは Structured Query Language(構造化問合せ言語) というリレーショナルデータベース(RDB)を操作するために必須となる世界標準言語のことです。 SQLインジェクションとは、 外部から不正なSQL文などを入力(Inject)することでデータベースを操作する手法。 データベースの開発者が意図しない方法でデータベースが操作されてしまうため、データベースに保存された個人情報などが外部に漏洩してしまう 具体的な方法については、このサイトでの禁止項目にあたりそうなので説明できません。 一部のネットショップ等が今週の攻撃を受け顧客情報を盗まれる被害に合っています。 一般ユーザーがこのような攻撃を受けることは多分、ありませんし、もし受けても、攻撃者が狙っているようなデータベースが無いので被害は無いと思います。 >一般ユーザーにも関係あることなのでしょうか? 盗まれたデータの中の「一般ユーザー」の個人情報が含まれることがあります。 昨年夏、「SQLインジェクション」をつかって個人情報を盗んだ中国人留学生が逮捕されたというニュースが流れ、「SQLインジェクション」という言葉が話題になりました。 中国ではSQLインジェクションを用いた攻撃用ツールを簡単に入手できるのだそうです。 http://itpro.nikkeibp.co.jp/free/NPC/NEWS/20050706/164102/

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ありがとうございます。 参考になりました。

関連するQ&A

  • ウイルスについて

    私はノートン2005年バージョンを使用しています。 Backdoor.IRC.Flood(http://www.symantec.com/region/jp/avcenter/venc/data/backdoor.irc.flood.html)が私のパソコンから検出されたのですが、「バックドア機能を持つmIRCクライアント」とは一体どういった物でしょうか? また、駆除・検疫が出来なかった為、手動にて感染ファイル「C:\WINDOWS\WinSxS\Policies\x86\dll32.sys」を検疫したのですが、これで大丈夫でしょうか? 加えて質問させて頂きますが、1年前に同じフォルダ「C:\WINDOWS\WinSxS\Policies\x86\」にあったsys.exe が「Backdoor.Trojan」に感染していると警告が表示されたのですが、これともなんらかの関係があるのでしょうか? よろしくお願い致します。

  • トロイの木馬が削除できません

    osはwinndousXP ソフトはノートンアンチウイルスです。 トロイの木馬に感染しました。 ファイル c\winndous\system32sysdut.exe ウイルススキャンをしても削除できません。 どうすれば削除できるでしょうか?

  • トロイの木馬が駆除できなくて困ってます。

    自宅のノートPCは、WindoWs XPを使用しています。ノートンでウイルススキャンしたら、Trojan Horse(トロイの木馬)に感染したので、修復しようとしたら「修復できません」の表示がでました。2個感染していて、2個ともシステムファイルで、そのうちの1個は、駆除できたのですが、もう1個は駆除または削除ができなくて困ってます。システムファイル名は、Windows \system32 \mdmdll.exeです。システムのことはまだ良く解らず困っています。駆除方法教えてください。それとシステムファイルを駆除した後の復元方法のアドバイスもお願いします。

その他の回答 (4)

  • 回答No.4
  • doki2
  • ベストアンサー率51% (440/860)

☆IRC IRCってなんですか? http://irc.nahi.to/what.html 専用ソフトをインストールする必要があり、Windowsの初期設定では使用できません。 ☆RPC リモートからのアクセス制限 http://www.ipa.go.jp/security/fy14/contents/soho/html/chap2/winxp_home/remote.html メーカーによって使われているプログラムはまちまちで必ずしもこのページの説明どおりではありません。 また、インストールされているアプリケーションによって設定が異なることもあります。 初心者の方の場合、これらの設定については、いじらないほうがいいと思います。 ☆DCOM DCOMを無効にする方法 http://www.st.ryukoku.ac.jp/~kjm/ms-windows/dcom/ 「このコンピュータで分散 COM を有効にする」のチェックを外した方がいいでしょう。 この場合P2Pソフトは使えなくなります。 >自由に操作されるというのは~ HDDの全内容を公開する「山田オルタナティブ」、Winny利用者以外も注意 http://internet.watch.impress.co.jp/cda/news/2006/03/03/11106.html パソコン40万台にアドウェアを無断インストールした男、米国で逮捕 http://hotwired.goo.ne.jp/news/business/story/20051107105.html 「ウイルス対策ソフトを過信しないで」---JPCERT/CC http://itpro.nikkeibp.co.jp/article/NEWS/20060125/227846/ 古くて新しいネットの脅威「DDoS攻撃」 http://nikkeibp.jp/netbiz/security/051226_ddos/ ◇セキュリティ対策ソフトでは防げないネット詐欺も~シマンテック調査 http://internet.watch.impress.co.jp/cda/news/2005/12/13/10210.html 急速に広がるスパイウェアの脅威 http://www.atmarkit.co.jp/fsecurity/special/86antispy/antispy01.html 「ボットネット」の正体を探る http://nikkeibp.jp/sj2005/special/63/

共感・感謝の気持ちを伝えよう!

質問者からのお礼

情報提供ありがとうございます。 IRCなどに関して、理解することができました。 #1の >SQLインジェクションという怪しげな手法でデータを盗む手口もはやりつつあります。 これについても良く分からないのですが、一般ユーザーにも関係あることなのでしょうか? よろしくお願いいたします。

  • 回答No.3
  • doki2
  • ベストアンサー率51% (440/860)

IRC http://e-words.jp/w/IRC.html RPC http://e-words.jp/w/RPC.html DCOM http://e-words.jp/w/DCOM.html SQLインジェクション http://internet.watch.impress.co.jp/cda/news/2005/06/13/7989.html パソコンの基本機能には、相互通信機能というものがあり、接続した相手側と相互にファイルやデータをやり取りできますし、場合によっては相手側のパソコンを自由に操作したり、その反対もできるようになっています。 相互通信機能をすべて利用できる状態でインターネット等に接続すると非常に危険ですのでOSやアプリケーション等を使って相互通信機能に制約が加えられています。 例えば、IE等のブラウザーを使ってサーバーにアクセスしてHTMLファイルを閲覧したり、ファイルをダウンロードできますが、一部の例外を除いて、サーバー側から接続相手のパソコンを閲覧したり、ファイルやデータを送り込むことはできないようになっています。 IRC、RPC等はパソコンの相互通信機能を使ってファイルやデータをやり取りしますので、悪意のある相手方に接続された場合、不正なファイルやデータを送り込まれる可能性がありますし、DCOMを使った場合、相手方にパソコンを自由に操作される危険があります。 >共有できる設定になっていては困るので、確認する方法はありますでしょうか? 一般的には、エキスプローラでファイルやフォルダを選択して右クリック。 メニューの「プロパティー」>「共有」を参照してください。 Winny等P2Pソフトについてとやかく言うのは、このサイトでは禁止されています。 >ポートが開かれると、一体どういったことになるのでしょうか? 侵入した相手方に、好き勝手にやられてしまうということになります。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

>IRC、RPC等はパソコンの相互通信機能を使ってファイルやデータをやり取りしますので、悪意のある相手方に接続された場合、不正なファイルやデータを送り込まれる可能性がありますし、DCOMを使った場合、相手方にパソコンを自由に操作される危険があります。 Windows98とWindowsXPには、IRC、RPC、DCOMが標準でインストールされているという事でしょうか? また、万が一使用できる状態になっていては困るので、確認する方法はありますでしょうか? >相手方にパソコンを自由に操作される危険があります。 >侵入した相手方に、好き勝手にやられてしまうということになります。 自由に操作されるというのは、パソコン内のファイルが流出してしまう可能性もあるのでしょうか? パソコンに対する知識がないため、何度も質問して申し訳ございません。

  • 回答No.2

バックドア系ウイルスに感染しているという報告があったのですから、可能性は否定できないです。 次のサイトに「山田ウイルス」の情報が出ているので確認して下さい。 ハマーの出張所 http://www.geocities.jp/dkstr_hamar/ NTERNET Wacth 関連記事インデックス 本誌記事に見る“Winny流出” http://internet.watch.impress.co.jp/static/index/2006/03/10/

共感・感謝の気持ちを伝えよう!

質問者からのお礼

情報提供ありがとうございます。 突然sys.exeというウインドウがデスクトップ上に大量に起動し、その日の内にsys.exeを削除しました。 ただ、山田ウイルスの本体でもあるsvchost.exeでは無かった為、この可能性は低いと判断しても大丈夫でしょうか・・・? また、山田ウイルスと山田オルタナティブが発見されたのはいつの事かご存知でしょうか? よろしくお願い致します。

  • 回答No.1
  • doki2
  • ベストアンサー率51% (440/860)

>これで私のパソコンのファイルが流出する...と言う事は無いですか・・・? Windowsでは、IRC、RPC、DCOMとかの危険なチャンネルが初期設定で開かれていますし、SQLインジェクションという怪しげな手法でデータを盗む手口もはやりつつあります。 その道のプロにかかれば、裏から表から、データを盗み取るのは不可能ではありません。 本業で忙しくて、そんな暇が無いのと、そんな不謹慎なことを考える人が殆どいないだけのことです。 盗まれて困るデータはパソコンに保存しないとか、パソコンの前にいないときはパソコンの電源を切るとかのセキュリティーの基本を守ってください。 ★ウィルス対策ソフトを無効に ウィルス対策ソフトを使えば安全だと考える人が多いかもしれませんが、レジストリに特定の値を書き込んでウィルス対策ソフトを無能にしてしまうのは簡単です。 ★便利と危険が抱き合わせ Windowsでは便利と危険が抱き合わせでさまざまな機能提供されています。 例えば、ファイルの共有システムというのがあります。 特定のファイルを特定のメンバー間で共有して、閲覧、編集できる便利なシステムです。 しかし、ファイルの共有を有効にした状態で、Winnyを導入すると共有ファイルを世界中に公開してしまう場合があります。 共有フォルダに保存されているファイルが、人事担当者の人事情報だったり、与信管理者の信用情報だったり、警察官の捜査情報だったり、自衛隊員の暗号情報だったり、医師の患者応報だったり、税務署員の滞納情報だったりすることがあります。 いずれも十分な知識なしにP2Pソフトを使ったりするのが原因ではないかと思います。 ★バックドア Windowsには約65000のポートがあります。 ウィルス等によってひそかに開かれてしまうポートをバックドアといいます。 ウィルス等によって開かれるバックドアが以下に沢山ありうるかを教えてくれるのが下記のページです。 *「Ports used by trojans (2002-10-15)」 http://www.simovits.com/sve/nyhetsarkiv/1999/nyheter9902.html ★オンラインの安全に関するその他のヒントを見る http://www.microsoft.com/japan/athome/security/default.mspx こんなところからはじめてください。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ご回答ありがとうございます。 >Windowsでは、IRC、RPC、DCOMとかの危険なチャンネルが初期設定で開かれていますし、SQLインジェクションという怪しげな手法でデータを盗む手口もはやりつつあります。 私はIRCなどについてよく分からないのですが、これらはいったいどういった物なのでしょうか? >例えば、ファイルの共有システムというのがあります。 >特定のファイルを特定のメンバー間で共有して、閲覧、編集できる便利なシステムです。 万が一共有できる設定になっていては困るので、確認する方法はありますでしょうか? >ウィルス等によってひそかに開かれてしまうポートをバックドアといいます。 ポートが開かれると、一体どういったことになるのでしょうか? よろしくお願い致します。

関連するQ&A

  • ウイルスが削除できません

    度々お世話になります。 ノートンアンチウイルスの体験版をいれて、システムの完全スキャンをしましたら3つの感染が確認されました。 Backdoor.Trojan Backdoor.IRC.Cloner IRC Trojan です。 その後削除を試みたのですが、「削除できませんでした」 というメッセージがでてきてしまいます。 そのあとスキャンのアップデートしてから同じことをしてみましたが、やはり削除できていません。 試しにウイルスバスターオンラインスキャンをしてみましたが、こちらではなにも検出されませんでした。 なにか対策はありますでしょうか。 よろしくお願いいたします。ちなみにPCはWINDOWS2000 です。

  • ウイルス削除についてなのですが・・・誰か・・・

    いきなりですが、最近PCでネットにつなげなくなりました。 今のところ別PCでネットにつないで質問しているのですが、 おかしいと思って、ノートンアンチウイルスで検索してみたところ Backdoor.TrojanとBackdoor.Y3Krat.GenとDownloderというウイルスが発見されました。 一応駆除してみたのですが、なぜだか未だにネットに接続できません・・・ 一応今のプロセスでおかしい?と思う物を挙げておきます。 Winlogon.exe csrss.exe(これについては検索してみた結果SYSTEM32の方でした) 等がPC使用率(100%)を占有しています。 そしてもう一つおかしなところが、 IEXPLORE.EXEが頻繁に起動しては終了しています。そのせいでかPCが結構重くなっています。 この状態でもう一度スキャンしてみましたが全くウイルスは見つかりません。 どなたか解決方法を知らないでしょうか・・・ もしかしてレジストリがおかしいのでしょうか・・・ 回答お願い致します。

  • トロイの木馬

    私のパソコンには、購入時、ノートンアンチウイルス2003というソフトが入ってたのですが、更新期限が切れても放っておいてしまいました。 しばらくぶりに、「検疫の表示」を開いてみると、バックアップ項目の中に、trojan byte verifyというファイルがあり、これはどうやらトロイの木馬というウイルスらしいということがわかりました。 (1)ノートンに表示されてた、その項目は削除したのですが、これでひとまずは安心なのでしょうか? (2)また、トロイの木馬に感染すると、具体的に言えば、どういう実害がでるのでしょうか? 「トロイの木馬」で検索してみると、いろいろ原理の説明などが詳しくされていますが、初心者の私のとっては、難しい専門用語ばかりでワケがわかりません。 データが流出するということですが、検索エンジンで何を検索したとか、どの掲示板にどんなことを書いたとか、GOOのパスワードとか、そういうものが流出するのでしょうか? どなたか、(1)・(2)の質問に対して、難しい原理は結構なので、アホな私がとりあえずはわかるように、簡単に説明していただける方、お願いいたします!

  • トロイの木馬とBloodhound について

    質問させてください 私のノートはXPで妹と共有して使っています 今日、2ヶ月ぶりぐらいにノートンでフルスキャンをしたところ 妹のユーザー名のInternet Temporary File の中からBloodhound.Exploit.6が2つと Trojan Horse がひとつ検出されました Bloodhoundはhtmとphpという拡張子のファイルのようでTrojanはhtmファイルのようです ノートンは修復不可能と言っています そこで 1.どうしてこのウイルスが入り込んでしまったのかを知る方法はありますか? 恐らく妹がどこかのHPを見たときに入り込んだと推測してるのですが、今後のために そのHPに近づかせないようにするために知りたいのです そのファイルにポインタを重ねると作成された日付はわかるのですが、そこからどうすれば 良いかが分かりません。 2.このウイルスは危険ですか?ノートンが修復できない場合はどうすれば良いでしょうか? 確かトロイの木馬はパソコンにバックドアを開けて、そのパソコンを踏み台にして 例えばどこかを攻撃するために使うとかそんな感じだったと記憶してるのですが そういったこと以外にも被害などがあるのでしょうか? 長文ですみません。宜しくお願いします。

  • トロイの木馬 Trojan.Hachilemを検出

    Windows 7 Home Premium SP1 Norton 360 使用です。 他に Spybot - Search & Destroy と SpywareBlaster  を入れています。 最近、何日かおきにノートンの自動ウィルススキャナで Trojan.Hachilemがウィルススキャナによって検出されるようになりました。 そうするとノートンはパソコンの再起動を促し 再起動してセキュリティ履歴を見ると検疫済みとなっており 推奨する処理は「解決しました。対応の必要はありません」となって 感染ファイルは「削除しました」となっています。 今回の感染ファイルは以下でしたが その都度tmpの前にある数字は000で始まりますが数字は変わります。 C:\program files(x86)\internet explorer\00019106.tmp C:\program files(x86)\internet explorer\00025026.tmp C:\program files(x86)\internet explorer\00030838.tmp しかしながら ノートンの推奨する処理は「解決しました。対応の必要はありません」確認したあとに C:\program files(x86)\internet explorer を見てみると 00019106.tmp、00025026.tmp、00030838.tmpは残ったままです。 それで再度一つずつファイルをスキャンするとファイルは無くなります。 下記URL参考(Trojan.Hachilem - 駆除方法)に http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2005-070812-1520-99&tabid=3 レジストリを確認しましたが "hachimitsu-lemon" = "hachimitsu-lemon.exe" は存在していませんでした。 影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP もしかして Trojan.HachilemはWindows 7には影響しないのですか? それとも Trojan.Hachilemのファイルがダウンロードされたがノートンが検出して すぐに削除してくれたということなのでしょうか? パソコンを起動していて アダルトサイトから お金を支払えというような広告もウィンドウも立ち上がったりはしません。 故意にアダルトサイトを閲覧したことは無く どういった経緯でTrojan.Hachilemが当方のパソコンに侵入してきたのかもわかりません。 Norton 360を最新にしてパソコンのフルスキャンもしました。 Spy-botも入っているのでスキャンしましたが いずれも何も検出されませんでした。 このまま放っておいても大丈夫でしょうか? よろしくお願い致します。

  • ノートンではスキャンしても検出されませんが 警告が続きます。

    VAIO の 2000を使用しています。セキュリィティソフトはノートンです。 最近、ネットに繋いでる間、ずっと警告が出ます。 発生源:C:\WINNT\system32\internal.exe Backdoor.Sdbot 発生源:\\**.**.**.***\C$\WINNT\system32\MServs32.exe Trojan Horse 発生源:\\**.**.**.***\C$\winnt\system32\wmp.exe Trojan Horse 等です。 また、ファイルが修復できません。 アクセスが拒否されました。が 何度も繰り返されます。 このパソコン 以外にシャープのパソコンもネットに繋ぎましたが、しばらくすると同じような現象が出ます。 また、ノートンのホームページを開こうとすると、ネットに接続できないというページになります。(もちろん、他のサイトにはアクセスできます。) よろしくお願いします。

  • トロイの木馬感染ファイルの削除の仕方を教えてください

    当方OSはWindows Meでシムアンテックインターネットセキュリティを使用しています。 先日ウイルススキャンをした所、 『c:\_RESTORE\TEMP\A0208588.CPY』というファイルをはじめ、同フォルダ・同拡張子合計6個がIRC.Backdoor.Trojanというトロイの木馬ウイルスに感染していました。下記が当方のした対策です。 (1)最新のアップデートをした上でノートンアンチウイルスで駆除を試みるが、削除が出来ない。 (2)セーフモードで上の(1)を行うが削除が出来ない。 どなたかこのウイルスの削除方法をご存知でしたら教えていただけると大変助かります。宜しくお願い致します。

  • トロイの木馬に感染!修復ができません。

    父の使用しているパソコンが、ウィルスに感染しました。 ウィルス対策ソフトは、ノートンアンチウィルスを使用しています。 パソコンを立ち上げると、画面中央に警告画面が出ます。 ウィルスに感染したファイルが見つかりました。というものです。 ウィルス名は、Trojan Horseとしか出ません。 他の方のをいろいろ見ましたが、ノートンはウィルスの詳しい バージョンというか名前というか、そこまでは表示してくれないのですか? また、ウィルススキャンを走らせて、ウィルスを見つけ、 検疫しますか?と聞かれますが、できませんでした、 削除しますか?と聞かれます。 これを削除すると選ぶと、これでウィルス駆除が完了ですか? パソコンの起動などに問題はないのでしょうか? ウィルスは、C:\WINDOWS\system32\sysint16.exeに見つかったとあります。 このexeは削除して大丈夫なものですか? 宜しくお願いします。

  • 2chで拡張子scrのウイルスを踏んでしまいました。

    2chで↓のようなアドレスをクリックしてしまいました。 ttp://(誰かのipアドレス?):8080/bbs/sonline.scr 恐らくウイルスなのですが、ウイルスソフトのESETは何も反応しませんでした。 上のアドレスをクリックしてしまったとき何も表示されなかったのですがこれは感染していないのでしょうか? 誰かの書き込みで「このアドレスは山田オルタナティブに感染した人のPC内にあるウイルスを二次感染をさせようとしているが感染者がPCを開いていないときにアクセスした場合は安全」というのがあったのですが本当ですか? もちろんウインドウズアップデートやESETの更新は行っています。 一応、今のところESETでPC内フルスキャン、bit diffender、カスペルスキーのオンラインスキャンは行いましたが何も検出されませんでした。 後は山田ウイルスではないかと思ってsvchost.exeや山田オルタナティブのupdate.exe、sys.exeなどが動いていないか確認はしましたが恐らく大丈夫みたいです。 ウイルスソフトは最新のものを入れており、これだけスキャンして見つからないということは感染していないと考えていいのでしょうか?

  • ノートン起動中に落ちてしまいます。

    いつもお世話になっています。ノートンアンチウイルス2005で全体のウイルススキャンをすると途中でパソコンの電源が落ちてしまいます。いままではそんなことなく最後までスキャン出来たのですが・・・・。知っている方、、よろしくお願いします。