MS03-026_RPC_DCOM_REMACT_EXPLOITの攻撃をやめさせるには？

いくつかMS03-026_RPC_DCOM_REMACT_EXPLOIT関連の質問や
対策方法の検索をかけたのですが解決しないので
新しく質問させてください。

11月14日を境に(弟がPCを触った後と思われる)
突然ウイルスバスターのポップアップが急激に増えました。
内容は「ブロックしました」とのことです。が、
頻度が１分間に5回ほどで、文字入力などに支障が出ます。
ですので、いくつかの検索してみて

・Windowsアップデートを再確認しセキュリティを最新にした
・家庭内ネットワーク１など使用しているファイアウォールの
　許可設定を変えてみた。（←これでポップアップが止まるとのこと。結果止まらないので）
・ブロックはさせたままポップアップ表示を消す設定にした。

以上のことを行いました。最後の対策でポップアップ自体はありませんが
ファイアウォールのログには相変わらず上記の高頻度で攻撃がされています。
この攻撃自体を止めさせたいのですが何か方法はありませんか？
水際で防いでいても、やはり気分が悪く、ＰＣにも負担ではないかと思いました。

また、私がＰＣを触った後ではないので何を経由してこうなったのか
はっきりはわかりませんが　推測でもいいので　原因を推理していただけると
助かります（次から気をつけられるように）

使用ＰＣ：Dell Demension9150
ネット環境：eo光1M　ルータについてはどれがルータなのか不明なので
あるのかないのか微妙です。すみません；；
ソフト：ウイルスバスター14
(常にアップデート済み。Dellなので市販の17に相当します)

何か必要な情報があればお教えください。
どうぞよろしくお願いいたしますm(__)m

ryu-fiz 回答No.3

とりあえずまず補足していただきたく。

>家庭内ネットワーク１など使用しているファイアウォールの許可設定を変えてみた。

とありますが…具体的にどのような設定変更を行ったのですか？

http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2060698&id=JP-2060698
こちらに書かれた内容に従いNetBIOS関連のポートをブロックする設定を行った、ということなのでしょうか？そこのところをまず、はっきりさせてください。

>ルータについてはどれがルータなのか不明なのであるのかないのか微妙です。

をはじめ、分からないことだらけではどう対処すべきなのか、正直分かり辛いです。答える側に立つ我々もエスパーではないので…ユーザーである質問者さんご自身が把握出来ていない利用環境を勝手に判断出来て対応策が分かる筈はありません。

ルーターが利用されているかどうか、そしてそのルーターにファイアウォール機能がついているかどうか…イエスかノーかで対応は全く違って来ますので、ご自身で判断出来なければ、利用環境をセッティングした販売店なり何なりに相談してそこのところをまずはっきりさせるべきです。

一つのケースとして考えられることとしては…そちらの環境でファイアウォール機能付きのブロードバンドルーターが使われているためにオンラインゲームやファイル交換ソフトのたぐいが上手く通信出来ないため、弟さんが勝手にルーターの設定を変更して特定のポートを開放する設定をしてしまった結果、本来きちんとブロックされるべき通信が素通しになってしまった、という可能性があります。

その場合でも、基本的にはウイルスバスターのファイアウォールでそうした不正な通信を止めることが可能な筈ですが…それが回避されるケースも幾つも考えられます。

１）やはり弟さんが勝手に、特定のソフトで利用するためにファイアウォールの設定を変えてしまった。

２）既に何らかの感染に遭ってしまい、ウイルスバスターのファイアウォールを越える通信経路が成立してしまっている。

３）ご利用になっているパソコンのネットワークアダプタとウイルスバスターのファイアウォールの相性が悪く、結果としてウイルスバスターのファイアウォールが外部からの通信を全く制御出来ない状態にある。

他にもいろいろ考慮すべき問題がありそうですが…そちらの説明からはそうした状況を判断するのに必要な利用環境の詳細が、残念ながら見えて来ません。

最も推奨されるアクションは、ここで質問してどうこうするのではなく、直接状況を把握してもらい処置してもらえるように、販売店など業者に直接見てもらって有償で対処してもらうことだと思います。

パソコンに関して、ご自身の手で対処したいとお考えなら、やはりそれなりの知識が必要、ということです。ルーターが何なのかも分からないというのではここで質問されても的確な回答を得るのは無理というものです。

パソコンを使いこなすのにはそれなりの勉強が必要です。それが難しいようなら、問題発生時には結局お金を使うしかならなくなるケースは幾らでもあります。スキルを高めるか、お金を使うか…二つに一つと言えるのかも知れません。

waros99 回答No.2

こんにちは。

ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知を欺くMalwareの動作解析みたいなことをやってます。

まあ正直、接続形態が不明なので何とも・・・・。LANを構築してます？無線とかも含めて。

http://support.eonet.jp/setup/speed/connection.html

まあ、お察しの通り実害は出てないと思いますが。で、ボクはバスターユーザーじゃないですが、バスターが検知するということはWAN側からPCにExploitが到達してる(直接続)、あるいはLANを構築してるなら別PCからとか。さもなくば、ルータでDMZやポートフォワードの設定をしてあるとか(その使用機器で設定可能であれば)。まあ、これに関しては可能性低いでしょうけど。また、弟さんには聞いてみたのでしょうか。

で、一番手堅いのはISPのサポートを利用することでしょうね。

FMVNB50GJ 回答No.1

MS03-026_RPC_DCOM_REMACT_EXPLOIT
詳しく知りませんが、TCP135番ポートへのパケットだと思います。

バスターのログに記録されるということは、パソコンまで到達していることみたいですね。ルーターを使用しているそうですが、ルーターがパソコンまで情報を送っていることかな？

当方も感染パソコンからのパケットに対してポートスキャンをかけた後、たとえば135番ポートが開いていればたくさん送りますが。普通なら、たくさん送られてわかるはず。というのは、ポートを開けているパソコンは、接続要求が来た後、接続を維持するからです。

セキュリティチェック
http://www.symantec.com/region/jp/securitycheck/
オープンポートはありますか。

ついでにウイルスチェックもオンラインでやったほうがいいかなと。

ただ、「１分間に5回」というのは少ない。つまり、感染しているパソコンからのアクセスがそれだと思われる、ということ。それで、「文字入力などに支障が出ます」だそうですが、その程度で支障になることはないと思います。
バスターの表示が支障になっているのは別として。

最近は少なくなりました。以前は、1分間に10回くらい、それよりも多いときも結構あった。いまは5回程度。ないことも多い。

バスターの事はわからないですが、
「許可設定を変えてみた。（←これでポップアップが止まるとのこと。結果止まらないので）」
許可設定というのは、プログラム制御に絡んだものではないですか。今一度、バスターで許可したソフトを確認してはどうですか。たぶん、知らないソフトを許可していないと思いますから。

ノートンを例に言えば、ファイアーウォールなどの設定は標準で十分。

ルーターを使用すると、ネット接続のための設定は、ルーターで行います。ルーターがネット接続するので。

まとまりないですが、セキュリティチェックでポートの確認を最低限でもやって安全を確認したらいいと思いますよ。