- ベストアンサー
SVCHOSTが大量に表示されるのですが。
本日、久々にファイアーウォールの ログを見ていたところ気になる部分があったので 質問させてください^^; 使用PCはNEC製 接続方法はCATVで行っています。 使用ソフトはウイルスバスター2005、SGアンチスパイ ad-awareを使っています。 ログを見たとき目に飛び込んできたのは。 大量のC:WINDOWS\SYSTEM32\SVCHOST.EXEという文字でした。 プロトコル:UDP(TCPの方がとても多かったです) 送信先ポート:1025 アプリケーションパス:C:WINDOWS\SYSTEM32\SVCHOST.EXE アプリケーション名:Generic Host Process for Win32 Services 説明:セキュリティレベル設定によるブロック となっていて同じ送信元IPから一度に5回位の攻撃を受けていました。 TCPとUDPのブロック数を見てみると明らかに TCPと表示されているのが多かったです。 以前はこんなに大量に攻撃を受けることはなかったのですが。 昨日今日の2日間の間で急激に増えてきました。 これは誰かが故意に攻撃してきているのでしょうか^^; それとも何かのウィルスに感染してしまったのでしょうか。 どなたかご意見聞かせていただけないでしょうか。
- roku1550
- お礼率70% (383/543)
- ウィルス・マルウェア
- 回答数5
- ありがとう数5
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
警察庁からの警告が出ているようです。 ◇警察庁、中国を発信元とするTCP 1025番ポートへのアクセス増加を警告 http://internet.watch.impress.co.jp/cda/news/2005/12/09/10174.html ■TCP1025番ポートに対するアクセスの増加について(12/9) http://www.cyberpolice.go.jp/important/2005/20051209_184920.html roku1550さんの場合、ファイアウォールでブロックされていると思います。 「MS Blast」が蔓延したときこのポート経由DCOMが悪用されたとか・・・ ポートの開放状況等「Access Port」が便利ではないでしょうか? http://www.altech-ads.com/product/10000314.htm その他参考情報 ★RPC(Remote Procedure Call) http://e-words.jp/w/RPC.html DCOM を無効にする方法 http://www.st.ryukoku.ac.jp/~kjm/ms-windows/dcom/ RPCサービスに重大なセキュリティ・ホール(MS03-039) ■回避法2:DCOMを無効化する http://www.atmarkit.co.jp/fwin2k/hotfix/ms03-039/ms03-039.html MSRPC DCOM ワーム「MS Blast」の蔓延 http://www.isskk.co.jp/support/techinfo/general/MS_Blast.html
その他の回答 (4)
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
micrpsoft updateのことだと思いますが、なんと言うか今までやっていないということですかね。 何とかアップデートを完了すべき、としかいえません。 正規品の確認をするものだろうと思いますが、正規品ならアップデートできるのではないかと。 「セキュリティ警告」というのは、そのパソコンははじめからSP2が入っているということですかね。 アップデートは、activXコントロールを有効にしていないとできないはずだったと思いますが、とにかくアップデートを完了しないとまずいでしょう。
お礼
返信有難う御座いました。 無事にアップデートすることが出来ました。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
故意かどうかは、送信元の人に聞いてみないとはっきりとはいえませんが。 「中国のIPを範囲ごと遮断するというのはどのように行えばよいのでしょうか」 ですが、IPアドレスの検索URLを以下に。 http://www.apnic.net/apnic-bin/whois.pl アジア・オセアニア http://www.arin.net/whois/index.html アメリカ大陸 http://www.ripe.net/perl/whois ヨーロッパ・中東 バスターの設定は知りません。あしからず。 当方はルーターを使用していません。 IPアドレスを範囲ごと遮断しているのは、ノートンでの設定です。 もちろん、その範囲とは通信できなくなります。 いちいち設定しなくても大丈夫だと思いますが。 セキュリティの基本は、OSのアップデートをやってセキュリティホールを埋めることです。 やっていないと、相手の攻撃がうまくいく可能性が出てきます。
お礼
↑正規Windowsの検証でしたorz これが出てアップデートが出来ない状態なのですが。 言われるまま進めていればアップデート出来るよう なるのでしょうか…? 追加質問大変申し訳ありません。
補足
返信有難う御座います^^ OSのアップデートの事なんですが アップデートしようとしましたらWindowsの~確認 という物が出てきてしまいまして、次に進んだら セキュリティ警告という物が出てきてしまいましたが これは「はい」を選択して次に進むべきでしょうか。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
1025番ポートへのアクセスはこっちでも観測しています。 送信元は中国のIPアドレスでした。 ノートンを使っています。 今日もアクセスに励んでいるようです。たしかにきのうぐらいからです。 故意じゃないとすると、ウイルスによるものなんでしょうかね。 故意にやっていると思いますよ。 「しもべ」にするパソコンを増やそうとしているかも。 何しろ中国のハッカー集団は、中国政府が関与しているうわさがあるくらいですから。 私の場合、中国のIPアドレスを範囲ごと遮断しています。
補足
返信有難う御座います。 そちらにも攻撃が仕掛けられていたのですね; 故意に複数のPCに攻撃を仕掛けているという事でしょうか。 中国側のハッカー事情がそんな風に言われてるのは 知りませんでした…驚きです^^; 中国のIPを範囲ごと遮断するというのは どのように行えばよいのでしょうか^^; ルーターを導入すればよいのでしょうか?
とりあえずは、次のことを実行してみてください。 1.ウイルスバスターのウイルスパターンを更新して、 最新版にしてから全ドライブのウイルス検索とスパイウェア検索を実行する。 2.ウイルスバスターを2005から2006にアップグレードする。 (ユーザー登録期間内であれば、アップグレード可能) 3.SGアンチスパイと、AD-AwareSEを最新版に更新して、全ドライブのスパイウェアチェックをする。 4.MicrosoftUpdateを実行する。 それで様子を見てください。
お礼
返信有難う御座います。 教えて頂いた通りにしてみようと思います。 どうも有難う御座いました^^
お礼
返信有難う御座います。 警視庁の方からも警告が出ていたのですね^^; URLも参考にさせていただきます。 どうもありがとう御座いました。