- 締切済み
Microsoft windowsSecuritycentefirewall Bypassとは?
Spybot search&destroyでMicrosoft windowsSecuritycenter firewallBypassなるものを検出しました。(WinXP) 基本的にMicrosoft windowsSecuritycenter~は、削除しないと 言うことは承知しているのですが、これも一緒でしょうか? セキュリティーセンターでウイルス対策の項目にチェックを入れた状態であるのに検出されたというのが気になりまして、質問した次第です。
- みんなの回答 (9)
- 専門家の回答
みんなの回答
- doki2
- ベストアンサー率51% (440/860)
http://www.lavasoftsupport.com/index.php?showtopic=4570&hl= Infected ?? - Lavasoft Support Forums ここでは「FirewallBypass」を許可したプログラムが「D:\WINDOWS\explorer.exe」ということになっています。 「explorer.exe」自体には送受信機能はありませんから、わざわざ「FirewallBypass」を許可する必要はないと思いますが、スパイウエアの中には「explorer.exe」から不正な「DLL」ファイルを呼び出す例がいくつもあります。 もし、過去に、スパイウエアとしてDLLファイルを駆除した記憶があればスパイウエアによって設定されたものの残骸かもしれません。 私の例では、これらのレジストリキーに3つのプログラムが登録されていますが、「Spybot S&D」では検出されませんし「explorer.exe」は登録されていません。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List 「名前」%windir%\system32\sessmgr.exe 「データ」%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List 「名前」%windir%\system32\sessmgr.exe 「データ」%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 「名前」D:\Program Files\ffftp\FFFTP.exe 「データ」D:\Program Files\ffftp\FFFTP.exe:*:Enabled:FFFTP ファイアウォールの「例外」でも「explorer.exe」は登録されていません。 もし「explorer.exe」からDLLファイルを参照していないのであれば 1.何の役にも立ちそうにない設定とみなして、放置する。 2.必要のない設定とみなして削除する。 削除の場合はレジストリのバックアップをとっておいたほうがいいと思います。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
>ご指摘の通り、間違えてコマンドラインバージョンをDLしていたようなので改めてDLしましたところ、正常に起動は致しましたがやはり異常は検出されませんでした。 >ここまで来ると様子見が賢明でしょうか? いろいろ調べたのですが…この件に関しては既出の情報が少な過ぎます。 前々回の回答で引用したLavasoftのフォーラムでの質問と同じ質問者さんがSpybot-S&Dのサポートフォーラムでも質問してらっしゃるのを見つけましたが… http://forums.spybot.info/showthread.php?t=8817 回答なしですね。。 ここまで調べた結果を元に私なりに考えた上での結論は、今回の場合は検出されたものを放置でも良いし、検出項目を削除可能であればしても良い、です。 エクスプローラの通信を許可する必要性が通常はない、というお話は既にしました。もしユーザーの意図しないうちにこうした設定が有効になっていれば危険、ということでSpybot-S&Dは警告を出したのでしょうが…今回の場合はチェックオフの状態で通信は許可されていないので、まず心配はいらないのだというふうに、現在の私は解釈しています。 おそらく、チェックオフの状態でもWindowsファイアウォールの設定ダイアログ、『例外』タブに初期設定で登録されている以外の項目がリストアップされている場合にはチェックが入っているいないに関わらず、"Microsoft.WindowsSecuritycenter.FirewallBypass"の検出は行われるのでしょう。 意図しない設定だったとしたらそれなりに注意して調べる必要があり、ご自身で状況を理解した上であれば警告は無視しても構わない、ということなのでしょうね。 そういう点では『Microsoft.WindowsSecurityCenter~で始まる項目は全部無視でOK』と紋切り型では捉えない方が必ずしも良いかも知れませんが。
お礼
御回答有難うございます。 最近定義されたということもあってか、情報が少ない事もあり 断言はできない状況ということですね。 見ず知らずの他人の私にとても分かりやすく、丁寧に教えて頂きまして本当に感謝しております。 私の方から本件に関して質問する事は今は御座いません。 しかし、断定できる形での結論が出ていない訳ですが締め切るべきでしょうか。それとも後の新情報の為に締め切らないでもいいのでしょうか 最後は直接関係ない質問になってしまい申しわけございません。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
>(2)はURLに従ってDLし、インストールしようとしましたが、青いアイコンをダブルクリックするとDOSが立ち上がり、終了後にデスクトップにtxtが出来るだけでインストールできませんでした。 F-Secure BlackLightはインストールすることなく、ファイルのダブルクリックで直接実行、検査が可能なものです。インストールされる必要はないのですが…higaitaisaku.comの解説ページにあるような画面が一切出ず、DOS窓が出るだけで終わったのだとしたら…個人的には全く気に入りません。 なるほど…BlackLightはごく最近2種類に増え、これまでのグラフィックユーザーインターフェースバージョンの他に、コマンドラインバージョンが追加されているようです。たぶん、間違ってコマンドラインバージョンをダウンロードされたのだろうと思いますので、上の方にあるグラフィックインターフェースバージョンをダウンロードし直し、実行してください。 ファイル名は"blbeta.exe"になります。"blbetac.exe"がコマンドラインバージョンですから、間違えないようにしてください。コマンドラインバージョンは普通にダブルクリックしても一瞬DOS窓が出るだけで終了することになるでしょう。
お礼
御回答ありがとうございます。 ご指摘の通り、間違えてコマンドラインバージョンをDLしていたようなので改めてDLしましたところ、正常に起動は致しましたがやはり異常は検出されませんでした。 また前回の書き込みから今の所(と申しますか、最初に質問してから今まで)ノートン等による侵入遮断通知やその他異常な動作は「私が知る限りでは」ありません。 ここまで来ると様子見が賢明でしょうか? 一応いまだにSpybotS&Dで検出はされますが、手をつけずにそのままに してあります。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
>ファイアウォールを見たところ、例外に確かにWindows Explorerがあり、これのチェックを外して再起動をかけてもやはり同じものが2つ検出されました。Windows Explorerを例外に指定したことはないのですが、これはデフォルトで指定されているものなんでしょうか。 申し訳ありませんが私自身はWin2000ユーザーでして、XPの初期設定に関しては詳しくありません。ただ… http://www.atmarkit.co.jp/fwin2k/operation/xpsp2/xpsp2_003.html を見る限り『例外』の初期設定にWindows Explorerは存在していないように思われます。常識的に考えても、Internet ExplorerならまだしもExplorerが直接通信を行う必要性があるとは思えず、やはり何かあるのではないかという気がします。 explorer.exeをXPのファイアウォールの『例外』に設定するマルウェアに関する記述はネット上で幾つかあるのが確認されました。 http://www.mcafee.com/japan/security/virPQ.asp?v=PWS-Banker.be http://www.f-secure.co.jp/v-descs/v-descs3/haxdoor.htm お手持ちの各種対策ソフトで何も検出出来ない場合には、他のツールもいろいろ試してみる必要があるかも知れません。例えば、つぎのようなものを。 1)トロイの木馬など、一般的なウイルス対策ソフトでは十分な検出が出来ないものにも効果的に働くa-squared Freeのようなツール。 http://www.emsisoft.jp/jp/software/free/ 2)悪意のあるプロセスなどを隠蔽する働きのあるマルウェアに対し、効果的に働くF-Secure BlackLightの利用。 http://www.higaitaisaku.com/blacklight.html 3)Ad-AwareSEを使ってのADS検査。ADSについての解説は次のページ参照。 http://www.geocities.jp/bruce_teller/adsmngr/helpfiles/aboutads.htm かいつまんで言うと…ADSという領域に隠しデータを作成することが可能で、悪質なコードが隠されるケースがなきにしもあらず、ということです。Ad-AwareSEのスキャン時に『Scan volume for ADS』を指定することでADSを検査することが出来るようです。(私自身の環境では実際にそこから何か検出された経験がないため、事後処理の詳細は不明ですが) 原因の特定が難しい場合、higaitaisaku.comの質問掲示板の利用も考えられた方が良さそうな気がします。 http://bbs.higaitaisaku.com/wizard/wizard.cgi
お礼
御回答有難うございます。 Windows Explorerに関してはチェックを外しております。 IEやoutlookは問題なく使用できますし、再起動等でいつの間にかチェックが復活しているということはありません。又、外部からの侵入を検知することもありません。 (1)と(3)はノートン、SpybotSDと併せてセーフモードでスキャンも しましたが全てにおいて特に何も検出されませんでした。 (2)はURLに従ってDLし、インストールしようとしましたが、青いアイコンをダブルクリックするとDOSが立ち上がり、終了後にデスクトップにtxtが出来るだけでインストールできませんでした。
- dion0622
- ベストアンサー率25% (112/441)
ハッカ-に侵入されていることは事実です この参考URLでダウンロ-ドの文字があります(くりっくする) 圧縮されたソフトが表れます(保存)-デスクトップで解凍してください(URLが長いので枠に入るか心配です) http://translate.google.com/translate?hl=ja&sl=en&u=http://www.hopster.com/&sa=X&oi=translate&resnum=1&ct=result&prev=/search%3Fq%3Dfirewall%2BBypass%26hl%3Dja%26lr%3D%26rls%3DGFRC,GFRC:2006-53,GFRC:ja%26sa%3DG
- dion0622
- ベストアンサー率25% (112/441)
参考URLでダウンロ-ド実行 トロイです’(極めて強力です) マイクロだけでは削除は難しいです http://translate.google.com/translate?hl=ja&sl=en&u=http://research.sunbelt-software.com/threatdisplay.aspx%3Fname%3DTrojan.FirewallBypass%26threatid%3D46127&sa=X&oi=translate&resnum=1&ct=result&prev=/search%3Fq%3DfirewallBypass%26hl%3Dja%26lr%3D%26rls%3DGFRC,GFRC:2006-53,GFRC:ja%26sa%3DG
お礼
御回答有難うございます。 確かにfirewallBypass(wallとByに空白を入れない)とウイルス・ スパイボットとして紹介している所もありますが、まだ確実にそうとも 言えないようでもあり、そのままにしているところです。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
Microsoft.WindowsSecurityCenter.FirewallBypass http://www.spybot.info/en/updatehistory/2006-10-13.html 2006年10月13日付けの定義で追加されたもののようです。 名称の意味合いから察すると…Windowsファイアウォールの設定で『例外』として特定のアプリケーションが通信出来るように設定されている場合にこの警告が出るのではないかと思われます。要するに、 http://www.microsoft.com/japan/windowsxp/using/security/internet/sp2_wfexceptions.mspx に書かれているような内容に則って、特定のアプリケーションに通信を許可する設定が行われている、ということではないかと。 この検出が問題になるかどうかは、検出されたものの内容を見ないと判断出来ません。一例としては… http://www.lavasoftsupport.com/index.php?showtopic=4570&hl= ここでは、 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\D:\WINDOWS\explorer.exe という検出がされているので、"D:\WINDOWS\explorer.exe"が通信を許可される設定がなされている、と見ることが出来ます。 (上記サイトはAd-Awareのサポートフォーラムのものですが…考え方としては同じではないかと) もし、ご自身の手で『例外』として通信を許可したものについての検出ならば、特に問題はないでしょう。それとInternetExplorerなど初期設定で通信が許可されていそうなものもありますから、それも大丈夫かと。もちろん削除せずに項目の右クリックから『この検出を除外する』を選択してください。 もし自分で設定した覚えのない項目が出ていたとしたら…InternetExplorerなど初期設定で通信が許可されているものを除き、当然この検出は削除が妥当で、更に何故こんな設定がいつの間にかされているのかを検証する必要があるかも知れません。
お礼
御回答有難うございます。 見てみたところ、2つありまして1つは HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\explorer.exe と、Cドライブである以外は全く同じようで、もう1つは003の部分が001 になってる以外は同じでした。 ファイアウォールを見たところ、例外に確かにWindows Explorerがあり、これのチェックを外して再起動をかけてもやはり同じものが2つ検出されました。Windows Explorerを例外に指定したことはないのですが、これはデフォルトで指定されているものなんでしょうか。
- Ace1
- ベストアンサー率21% (555/2541)
変わったものが出てきましたね、私はInternetExplorerが出て来た事があります。 名前から考えて除外指定でよろしいかと思われますが。 併しキャノンの例の文章にはありませんが、最終判断はご自分での判断にお任せ致します、自己判断なさって下さい。 例のキャノンにあるものは削除しても再作成されるようです。
お礼
御回答有難うございます。 やはり、私もDisableNotify等と同じように特に気にしなくてもいいものという気もします。 少し経つとこれに関しての情報も出てくるかもしれませんし、そのままで様子を見てみようかと思います。
- yoshi-thk
- ベストアンサー率38% (2059/5283)
今回他にもいろいろと、SpybotS&Dでの除外処置について追加されているようですので一度確認してみてはどうでしょうか? ちなみに今回の項目は、はじめて見るものです。 キヤノンソリューションシステムズ No.SBT5002 「Security Risks」または「Windows Security Center」が検出されるのは? http://canon-sol.jp/supp/sb/wsbt5002.html
お礼
御回答、有難うございます。 お示しになったURLは一度見たのですが、載っていないものでしたので DisableNotify等と同じようなものと安易に判断していいのか分からず 質問した次第です。
お礼
御回答有難うございます。 過去に観戦経験があり(どんなものかまでは覚えてませんが)色々なツールを使っても現在は特に検出されない為、私も残骸だろうかと推測していました。 成る程、explorer.exeはデフォルトのものではないのですね。 一応今はチェックを外して放置しております。 それで特に動作上の問題は素人目には起きておりません。