- ベストアンサー
nimdaがどの検知ツールでもひっかからない?
nimdaによって感染した「admin.dll」や「Riched20.dll」は どこのウイルス検知ツールを用いても検知できないと言われました(9/28現在) ということで、上記2つのファイルを上書きしなさい という指示を受けています。 シマンテックやネットワークアソシエイツのnimda検知ツールを使って大丈夫っといっても 「検知ツールは意味無いです」の一点張りです。 本当にadmin.dllやRiched20.dllは検知できないのでしょうか? (admin.dll等も検知できるツールはどこにあるのでしょうか?)
- ネットワーク
- 回答数6
- ありがとう数5
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
基本的にadmin.dllはIISがインストールされていると、Riched20.dllはWordpadがインストールされていると存在するDLLで、しかもバージョンごとに少しずつファイルサイズも違うので、上書きされてもほとんど分かりません。まぁ、実際にはバイナリで比較して・・・と言う手もありますが、それをするにはまだNimdaのことがわからな過ぎというのが実際だと思います。 ただ、基本的には感染したPCのRiched20.dllなどはすでに感染したものに上書きされていると思われるので、正常なもので上書きするようにと言う風に書かれているはずです。一度もNimdaに感染していないのであれば、特に問題はないと思いますよ。 念のために、Trendmicroの検出ツールへのリンクを参考URLに書いておきます。 間違いがありましたらご指摘ください。 ではでは☆
その他の回答 (5)
- aquiz
- ベストアンサー率46% (759/1635)
「検知ツールは意味無いです」の意味するところですが、 検知ツールはウィルスに感染して、スクリプトなどの 実行ファイルに変えられたものを検知するのだと思います 上記2つのdllは、それぞれが参照、または利用されるライ ブラリのため、プログラムとはみなされないのでは? 参考URLにあるとおり、ネットワーク越しに送りつけられ ていた恐れがあったので、安全策として上書きの指示が 出されたと思います。私がシスアドならそうします。 機器が感染したかどうかを判断することが、検知ツール の目的であり、その手段としてオンラインツールや対策 ソフトが存在します。最後は人の手で処理するものと 思います。どうでしょうか?
お礼
良きアドバイスありがとうございました。 >上記2つのdllは、それぞれが参照、または利用されるライブラリのため、 >プログラムとはみなされないのでは? > dllの扱いというのが自分の知識ではよくわかりませんが、 検知ツール作成者等からみたら、aquizさんの言われたとおりなのかな? 利用者からみたら「なぜ全部のファイルを検知してくれないの?」となりますが...。 >ネットワーク越しに送りつけられていた恐れがあったので、安全策として >上書きの指示が出されたと思います。私がシスアドならそうします。 > そうでしょう。 今考えても自分とこの管理者の対応は良かったと思います。 (どこからの情報か?という問い合わせは自分以外にも結構あったようですが...管理者も大変ですね ^ ^;) >最後は人の手で処理するものと思います。どうでしょうか? > 確かにそうだと思います。 ちなみに自分もそのタイプです。(笑) みなさんいろいろとありがとうございました。
- sekiya-h
- ベストアンサー率61% (1543/2514)
>感染していなくても2つのdllも正常なファイルで上書きコピーするという対応が必要だと思いますがどうでしょうか? 心配なら、そうされると良いでしょう。 どの位の間隔を空け、上書きコピーをされるのかわかりませんが?(月1回?週1回?毎日?) *シマンテックの場合、「駆除した後、riched20.dll の上書きだけで良い。場合により、Microsoft Officeを再インストールする必要も…」と説明されています。 ウイルスは nimda だけではありませんよね。新しいウイルスも発生しています。nimda の場合は1つ Dll を上書きするだけでよいが、類似したウイルスは必ず発生します。すべて個々に上書きコピーをしているのでは、仕事どころでなくなるのではないでしょうか。 会社のPCであれば、管理者に相談した方がよろしいのでは?もし、自分でトラブルを増やすとそれこそ部署の責任だけでなく、個人の責任にもなりますよ。 それほどに心配なさるのであれば、 IPA セキュリティセンター http://www.ipa.go.jp/security/ SYMANTEC http://www.symantec.com/region/jp/ MCAFEE http://www.nai.com/japan/virusinfo/kujoguide.asp Microsoft TechNet (Nimda ワームに関する情報) http://www.microsoft.com/japan/technet/security/nimdaalrt.asp やIT関連のHPをよく読んでみましょう。 >アンチウイルスは常駐しているので 常駐していても最新のウイルス定義にアップデートしなければ、新しいウイルスを検知してくれません。アップデートはしていますか?先日などは1日で数回新しいウイルス定義をアップデートしましたよ。 気を悪くしたら、すみませんが、ウイルスに対しては最新の情報を得ることが重要かと思います。
お礼
ご回答ありがとうございます。 いろいろとご指摘ありがとうございました。 >会社のPCであれば、管理者に相談した方がよろしいのでは?もし、自分でトラブルを増やすと >それこそ部署の責任だけでなく、個人の責任にもなりますよ。 > そうですね。ごもっともです。 ただ、特に自分でどうこうする訳ではなく、nimda対策に(感染の有無を問わず) 2つのdllの上書きコピー という手段が本当に必要か ということです。 どこの対策ページを見ても、検知ツール(たぶん2つのdllは検知しない?)を行うしか 書かれていません。(感染した時のみdllのコピーが必要) どうなんでしょうか? これで特に管理者にかみつこうなんて思ってないです^ ^;)
- aquiz
- ベストアンサー率46% (759/1635)
会社のPCでのことなのでしょうか?状況が不明なので なんとも想像できないでいます。気を悪くしないで下さい もし会社での会話からの出来事であれば、管理者からの 指示を無視する意向があるのでしょうか?納得できない ことはできないということではないですよね? そんなことではないと仮定して、admin.dllおよび riched20.dllを上書きする必要があるのはMSoffice 関連のアプリが誤動作する場合に必要かと思います。 そのことはsekiya-hさんが示しているURLを参考に。 ツールはどんな修復をするのか、また注意する点は どんなものか解説を冷静に読み取ることが必要です。 面倒に思って、自己判断に偏ると無駄な時間を過す ことになります。情報収集に時間をかけましょう。 あなたに指示を与えた方は、急を要する事態なので ゆっくり説明などしている暇はないのでむげに 対処しているのだと感じます。支持に従った上で、 落ち着いてからゆっくり説明を聞いてください。 今大切なのは、必要な処置を即座に実施して、 個人的な興味はその次に解き明かすことではないで しょうか? その点が心配なのでご忠告します。
補足
良きアドバイスありがとうございます。 >あなたに指示を与えた方は、急を要する事態なので >ゆっくり説明などしている暇はないのでむげに >対処しているのだと感じます。支持に従った上で、 >落ち着いてからゆっくり説明を聞いてください。 > 実は、指示を受けた時点で言われたとおり対応しました。 #この時は自分もnimdaについてよく知らなかったので、とりあえず言われたとおりに...。 その後ちょっと気になったので自分なりに調べましたが、nimdaの対策(感染していない時)として 「2つのdllを上書きする」という事を書いてあるサイトを見つけることが出来ませんでした。 ですので、この対応は果たして正しいのか?という疑問が出てきた次第です。 >今大切なのは、必要な処置を即座に実施して、 >個人的な興味はその次に解き明かすことではないでしょうか? >その点が心配なのでご忠告します。 > ご忠告ありがとうございました。 確かにその通りです。 ですので、まずは言われたとおり対策を行い、その後自分なりに調べています。 説明足らずで余計な心配までおかけしました。すみません!m(_ _)mヘ゜コ
- sekiya-h
- ベストアンサー率61% (1543/2514)
どちらで得た情報なのでしょうか。 nimda の検知は admin.dll や Riched20.dll だけを改ざんするのではないので、アンチウイルスソフトは、他のいくつかの改ざん等の組み合わせで判断しているのではないでしょうか。 各社、nimda 対応の定義は完成し、アップデートを勧めていますよね。ですから、Admin.dllとRiched20.dll 単独では検知出来ないかもしれませんが、nimda は検知出来るという事です。 ただ、駆除に対しては、#1の Kanata さんの仰っているとおり、Admin.dllとRiched20.dll は修復出来ないので、感染していないバックアップ、Microsoft Windows、Office .cabファイルのいずれかを使って正規のフィルで置き換える必要があると言うことです。 ただし、nimda のすべてを解明したわけではないので今後の展開はわかりません。 参照 ⇒ http://japan.cnet.com/News/2001/Item/010928-2.html?mn
お礼
ご回答ありがとうございます。 >どちらで得た情報なのでしょうか。 > すみません。 自信満々に「ウイルスソフトで検知できない」と言ってくるので聞けませんでした。 たぶん感染した2つのdllを各nimda検知ツールで検索してみてダメだったので 「検知ツールは意味無い」と豪語しているのでは と思っています。 >各社、nimda 対応の定義は完成し、アップデートを勧めていますよね。ですから、>Admin.dllとRiched20.dll 単独では検知出来ないかもしれませんが、 >nimda は検知出来るという事です。 > そういうことですよね。 この2つのdllだけ他にコピーされることは、手動で行わない限りありえない ということですよね? でも、たまたま2つのdllを含んだものをコピーしてしまう事があるかもしれませんよね。(他のnimdaファイルは含まない) この2つのdllのみでnimdaが動作するかは不明ですが、もしnimdaが活動できるとすると 後で「感染していました」ということになり、自分の部署の責任問題になってしまいます。 #もちろんアンチウイルスは常駐しているので、他への感染はないです。 #しかし、徹底的に対応している企業等では、「感染」ということに結構シビアな所も多いのでは? となるとやはり検知ツールだけでなく、感染していなくても2つのdllも正常なファイルで上書きコピーする という対応が必要だと思いますがどうでしょうか? (この対応を載せているサイトはあるのかな?)
- selenity
- ベストアンサー率41% (324/772)
安全を求める/どうしても心配でたまらない というのであれば、OSの再インストールをするべきでしょう。 もちろんHDDはローレベルフォーマットから、、、 チェックツールの結果が大丈夫なのであれば、あまり心配する必要はないように思えますが、、、
補足
回答ありがとうございました。 ですが、今回は感染したかどうか不安 というわけではなく、 「nimdaがadmin.dllやRiched20.dllに感染する にもかかわらず、この2つのファイルを チェックするツールが存在しない」 と言うのは本当なの?ということです。 もしそうであれば、チェックツールの結果を信じている人はまだ危ないことになると思うのですが...。 どうなのでしょう?
お礼
ご回答ありがとうございました。 >しかもバージョンごとに少しずつファイルサイズも違うので、上書きされてもほとんど分かりません。 > ということは、やはり今存在しているチェックツールではadmin.dllとRiched20.dllは 検知できない ということでしょうか? nimda検知は他の事象で検知しているのかな? 教えていただいたトレンドマイクロのチェックツールも問題の2つのdllをチェックしているかどうかは ちょっとわかんなかったです。