• 締切済み
  • すぐに回答を!

このようなウィルスが・・・

現在管理しているネットワークがウィルスだと思われるものに犯されているのですが、ウィルスチェックにもかからないし、発生源も突き止められないため、現在困っていう状態です。 以下の状況です。 1.WANネットワーク上からブロードキャストでパケットが送られてくる。 →これが何らかの方法で内部に侵入したようです。 2.感染したパソコンから、近くのスイッチングハブに向けて偽のarpを送りつけ、テーブルをオーバーフローさせる(IP-MACの関係を破壊) そのため、フローした後にハブが聞きにいくのですが、このときに嘘の情報を流し、WANからのルートを確定させます。 3.これを何度か繰り返し、感染を進めていきます。 4.その後、ICMP(ping)パケットをPCに送りつけるのですが、このパケットも改変されています。 パケットの状態なのですが、まず返信先のアドレスが変更されていること、返信をUDPでやるように変更されていること。などが主な特徴です。 つまりICMPを送り、送り先のPCから帰ってきた情報を送り元ではなく別にUDPで送信しようとします。 5.またメールを大量に送ろうとしています。 ちなみにFTPサーバーなどは、構築していないようです。 現在以上のような状態になっていて、ネットワークを完全に封鎖している状態です。 ウイルスをインターネット上で検索しているのですが、該当するものが見当たりません。 以上と似たようなハックをするツールは見つけたのですが、ウイルスは見つかっていないので、現在は頭を抱えている状態です。 切羽詰っている状態です、誰か助けてください。 よろしくお願いしいます。

共感・応援の気持ちを伝えよう!

  • 回答数2
  • 閲覧数107
  • ありがとう数0

みんなの回答

  • 回答No.2

WANということは法人でのネットワークと考えますが、法人であればセキュリティソフトの法人契約を結んでいると思われます。 サポートの範囲内だと思いますので、御社と契約しているSYMANTECかTRENDMICROか、はたまたMCAFEEなどに問い合わせてみるのが一番だと思いますが。。。

共感・感謝の気持ちを伝えよう!

質問者からの補足

そうですね、問い合わせ・パッチは最新のものを使用しているのですが、解決が出来ていません・・・

関連するQ&A

  • NAPTとPING

    ルータのパケットフィルタルールにWAN側UDP禁止にしたらなぜかPINGのリプライが返ってこなくなりました。ICMPパケットってNAPTではUDPでラップされるんですか?

  • ルータがある場合のARPの動き

    ARPの動作についてご教示お願いいたします。 ホストAからホストBへデータを送信する際にホストBのMACアドレスが不明な状態で ケース1:ホストAとホストBが同一のネットワークにある場合。 ケース2:ホストAとホストBが異なるネットワークにありルータで繋がっていた場合 ケース1の場合には、ホストAは、ホストBのIPアドレスを設定してブロードキャストしますが、ケース2の場合には、ホストAは、デフォルトゲートウェイ(ルータ)のIPアドレス当てにのみARPパケットを送るのでしょうか? それともARPパケットをブロードキャストするのでしょうか? ご教示宜しくお願いいたします。

  • WANからのブロードキャストパケットを遮断する方法

    社内LANではDHCPサーバを使用しているため、LAN内でのブロードキャストパケットは良いのですが、現在特に何も制御していないため、WANとの間のブロードキャストパケットが垂れ流し状態になっています。 社内LAN側のブロードキャストパケットは許可し、WAN側のブロードキャストパケットのみ遮断する方法を教えてください。

  • 回答No.1
  • emden
  • ベストアンサー率34% (148/425)

脅威が何であるかわからないのであれば、感染している(異常な挙動をしている)PCを特定して、ファイアウォール、Windowsパッチ、セキュリティソフトを適用していくしかないと思います。それでも出るとしたら未知の脅威ですので対応手段はないと思います。

共感・感謝の気持ちを伝えよう!

質問者からの補足

もちろん感染しているPCはわかっているのですが、大本が判明しないので困っています。 また、現在はネットワークを完全に封鎖し(物理的に)再インストール・リカバリ・再構築をやっている最中です。 しかし原因がつかめないことには、以上のことをやってもどうしょうもありませんので・・・という感じです。

関連するQ&A

  • ブロードキャスト転送できるかはルータによりますか?

    WHR-HP-G300N ブロードキャスト転送できるかはルータによりますか? 【ポート変換】 プロトコル:UDP ポート:2304 LAN側IPアドレス:192.168.1.255 を指定すると ※LAN側ブロードキャストアドレスは使用できません となり、WAN側に届いたパケットをブロードキャストすることができません。 このようなルーターで、すべての端末へブロードキャストを行わないといけない 状況のパケット転送設定をすることは機器的に無理なのでしょうか? 方法としてあきらめるしかないですかね?

  • IDを盗むウィルス

    さきほどある掲示板のページを閉じようとしたときに間違って 拡張子.exeのIDハックウィルスのURLをクリックしてしまいました。 情報によるとこのウィルスはPCのキー入力操作を盗み IDやパスワード情報を盗むもののようです。 誤ってクリックしたことは分かっていたのですぐにページを閉じました。 このようなウィルスの場合、URLをクリックしただけでは感染しないのでしょうか? パスワードなどの登録情報を変更しようにも そのときのキー操作を盗まれてしまうのではないかと思うと うかつに変更も行えません。 どのように対処すればよいのでしょうか?

  • ウィルスに感染した?

     昨日の夕方までは何ともなかった私のパソコンが、ちょっとおかしいんです。 重大な程ではないのですが、画面を閉じたり、元のサイズに戻したり、最小最大化する画面の右上の隅の部分がヘンな数字になってるんです。またダイヤルアップネットワークの際の表示の「パスワードを保存する」「自動設定にする」の部分のボックスが黒く塗りつぶされた状態になってるんです。見づらさ、やりづらさ以外には別段不自由はないのですが、ウィルスに感染したのでは?と思いウィルスCHECKもしたのですが、何も見つからず。ただ、三日ほど前にオンラインのウィルスCHECKでウィルスに感染したファイルが見つかったので削除したのですが(オンラインソフトでは削除は出来ても駆除は出来ないもよう)、それも三日前で、この変な現象もたった今さっきのことで、ウィルスを削除してからの三日間は別に何ともありませんでした。ちなみにその時のウィルス名はJS_GENERIC.003, でウイルスの種類はJavaスクリプト(未知ウイルス)らしいです 。どなたかこのことに関する知識がある方、宜しくお願いします。

  • ラーメンウィルスに感染?侵入された!どうすりゃいいの!

    Linux(RedHat)のサーバーがラーメンウイルスに感染してしまいました。取りあえずネットワークから外したのですが、この後どうすればいいのでしょうか。 そもそもこのウィルスはどのように感染するのでしょうか。 ご助言よろしくお願いいたします。

  • ルータの処理手順、アクセスリスト作成のコマンド

    以下に記述する2題の問題がどうしても分からないのでどうか回答お願いします。 (1)ルータにおけるネットマスク処理と次ホップの決定について、ルーティングテーブルに ・宛先ネットワーク:192.168.1.0 255.255.255.0,次ホップ:192.168.3.2 ・宛先ネットワーク:172.16.0.0 255.255.0.0,次ホップ:192.168.4.2 の2つがあり、172.16.2.6宛のパケットが来た場合のルータにおける以下の処理手順を、具体的に詳しく説明せよ。 1.ルーティングテーブルの中で、サブネット長の長い行から順にチェックする 2.パケットの宛先アドレスとサブネットマスクとのビットごとの積(AND)をとる 3.宛先ネットワークと一致するか調べる 4.一致していれば対応する次ホップに転送する。一致しなければ次をチェックする (2)次の条件を全て満たすアクセスリストを作成するためのコマンドを記述せよ 1.TCPパケットは、アプリケーションがtelnet(ポート番号23)の場合のみ許可(その他のUDPパケットは全て拒否) 2.UDPパケットは、ネットワーク192.168.5.0/24内のホストが送信元の場合のみ許可(その他のUDPパケットは全て拒否) 3.ICMPパケットは、宛先が10.0.0.0/8内のホストで、メッセージの種類がping到達不可の通知(unreachable)の場合のみ許可(その他のICMPパケットは全て拒否) 4.その他、全ての送信元から全ての宛先へのIPパケットを許可

  • ブロードキャストアドレスについて

    理屈上は255.255.255.255にパケットを発信するとルータを越えて全てのネットワークに送られると思うのですが、実際はそうではなく『自ノードと同一のネットワークに接続している全てのノードにブロードキャストされる。ルーターが 255.255.255.255 に送信されたパケットを受信した場合、他のネットワークに転送してはならない。』と解説されています。 と言うことは、例えば自宅で1台のルータの下に192.168.0.×××というネットワークがあり、この中にあるPCからブロードキャストアドレス255.255.255.255にlPパケットを送信した場合、このLAN内の全てのノードにパケットが送られるが、ルータを越えてWANには送られない、と言うことですよね? でも、これって192.168.0.255宛てに送ることと同じではないでしょうか? 192.168.0.×××内のパソコンから ・lPパケットを192.168.0.255に送る ・lPパケットを255.255.255.255に送る この両者の違いが分りません。 どなたかこの違いが分る方、違いを教えて下さい。

  • IP経路とUDP到達性

    ルータ群で構成されたL3ネットワークのルーティング設定をしていました。 その際、ある末端に接続したPC-Aにデフォルトゲートウェイ設定がない状態にしていました。 PC-Aから一番遠い側のルータからPC-Aの属するネットワークの経路は確認できるのですが、 PC-Aはゲートウェイ設定が無いため ICMP 応答はできず ping は通りません。 ここで質問です。 「UDPなら片方向の通信到達性は確認できるのでは?」 とう質問をされたのですが、 「UDPはICMP(または他の同レイヤのプロトコル)上の上に位置するレイヤのプロトコルなのでICMP到達性がない時点でUDPの到達もできない」 と考えています。(UDPの到達自体確認できないかもしれないですが。) この考えは正しいでしょうか? (言い方を換えるなら、ICMPがNGかつ、UDPがOKということはありえないという認識でよいでしょうか?) 質問自体、間違っている、などありましたらご指摘お願いいたします。

  • これはウィルスなのでしょうか…?(長文です)

    こんばんは。 私はセキュリティにNorton Internet Securityを使用しているのですが、 Up Dateの際、「ウィルス定義ファイルの更新」ができない状態になっています。 (PCの設定のせいのようなのですが、ヘタにいじるのが怖くそのままになっていました) そのため、ウィルススキャンをしても信用できないな、と思い Symantecサイト内のSecurity Checkにてウィルススキャンをしてみました。 すると、ウィルスに感染しているとの検査結果だったので、ウィスルに感染しているファイルを検索してみました。 すると。 「○○(ファイル名)の参照先は現在利用できません。 参照先は、このコンピュータ、ネットワーク・またはホームネットワークの別のコンピュータに存在していた可能性があります。 ディスクが正しく挿入されているかインターネット、またはホームネットワークに接続しているかどうかを確認し、もう1度実行してください。 それでも参照できない場合は別の場所に移動した可能性があります。」 と表示され、その後に 「○○は無効なファイルです」 と出てきます。 因みに、以前同じウィスルに感染したことがあり、それを駆除した後も 感染しているというデータ?だけが残っており、 感染していないのに感染していると判定されたことがあります。 これは、ウィルスによってファイルが削除されてしまったのでしょうか? それとも、またそのデータだけが残ってしまい誤判定されてしまったのでしょうか…。 PCはWindows Meです。 よろしくお願い致しますm(__)m

  • UDPパケットの分割について

    こんにちは。 現在、クライアント&サーバの通信プログラムを作成しています。 クライアントがサーバに接続しにいく際、サーバの待ち受けポートにクライアントが UDPでブロードキャストしています。 その際、クライアントの情報もUDPに乗せて、送信しています。 ここで、問題なのですが、ネットワークモニタで通信データを見てみると、 クライアントから送信するUDPデータが1500バイト?を超えると、UDPパケットの分割が行われ、 2つめのデータが、UDPではなく、IPで送信されています。 しかも、2つめのIPのパケットがサーバ側に届くケースと届かないケースがあるように見受けられます。 (環境の違いかもしれません。) 2つめのパケット破棄は破棄が起こる環境では必ず起きます。 破棄が起きない環境では一回も起こりません。 スイッチ、NIC等で、破棄することってあるのでしょうか? ネットワーク上の問題っぽいので、OSの違い(Win2K pro,Win2k advanced server) などには関係ないですよね? どなたが、ご存知の方がおられましたらご教授願います。

  • ウィルスに感染したのでしょうか?

    ウィルスに感染したのでしょうか? ウイルス セキュリティゼロを使用しているのですが先程、ウイルスに感染したような表示が出てしまい、気になっています。 履歴を見ると以下のようになっています。 ---------------- 説明:Trojan (0017089b1)を発見しました。 状態:隔離画面にバックアップが作成されました。 設定:ファイルが発見されませんでした。 ----------------- 名前の欄は長いので省略しますが、Temporary Internet Filesとあります。 いまいち意味が解らず、隔離画面も見ましたが、隔離されたものはありませんし、パソコン全体にスキャンをしてみましたが、ウィルスは検出されません。 これは感染しているのでしょうか? パソコンに詳しくないので、どなたかご回答いただけると助かります。 宜しくお願いします。