締切済み

spybot感染PCの特定

2007/02/17 18:54

PCが150台程度のネットワークにおいて、W32.spybot.worm(updtftpini.exe)に感染してしまいました。なるべく早く感染したPCを特定したいのですがどうすればいいのでしょうか？パケット監視して特定することは可能でしょうか？よろしくお願いします。

jirohan
お礼率100% (3/3)

ネットワーク
回答数3
ありがとう数3

みんなの回答 （3）
専門家の回答

みんなの回答

celtis
ベストアンサー率70% (2332/3291)

2007/02/18 20:10 回答No.3

前述のシマンテックにある詳細ページに書かれていますが、このワームを検出できるパターンファイルは、２００３年の４月に配布されています。つまり、検出できていなかったパソコンには、それ以前のパターンファイルしか登録されておらず、以降に発生したあらゆるウイルスに対して無防備な状態で業務をしていることになりますね。今回のワームだけでは収まらないかもしれませんので、パターンファイルの更新とすべてのパソコンに搭載されているドライブの全ファイル検索を、早急に実施させたほうがいいのでは？また今後のためにも定期的な更新や検索の徹底、ウイルスが発見された場合の初動方法などを書面にして、各ユーザーに配布しておきましょう。この手の依頼は守られないことが多いので、上司と相談した上で罰則付きの社則として、日常業務に組み込んでしまうと言う手もあります。

参考URL：: http://www.networkworld.jp/security/-/11262.html

質問者

お礼 2007/02/19 22:13

ご回答有難うございました。 2006年7月のパターンファイルでも感染しておりました。しらみつぶしに対処しております。

celtis
ベストアンサー率70% (2332/3291)

2007/02/18 14:43 回答No.2

W32.spybot.wormに感染していると、どのようにして判断されたのですか？１５０台規模のネットワークを利用されているのなら、コーポレート版のワクチンソフトが導入されていると思いますが、それならサーバーの感染ログに該当PCのIPやコンピュータ名が記録されているはずです。各パソコンに独立したワクチンを導入しているのなら、手間ですが利用者に感染ログを確認してもらい、該当者に申告してもらいましょう。ワクチンを導入していない無防備状態のネットワークに、感染したパソコンを持ち込んでしまって、どこまで広がったのか見当もつかないということなら、命令権のある上司に伝えて全台一斉にオンラインスキャンなどで確認を行うべきです。もしくは、全台シャットダウンしている状態で、一台ずつ起動＆駆除する必要があります。中途半端な状態での駆除は、他の感染パソコンから再度感染させられてしまい一向に改善しません。このワームは感染力も高いうえに、情報漏洩を行うタイプのようなので、一刻の猶予もないと思いますよ。大事になる前に自力でどうにかしたいと考えている間に、取り返しのつかない事態になる危険性があります。

参考URL：: http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.spybot.worm.html

質問者

お礼 2007/02/18 18:07

ご回答有難うございます。シマンテックのワクチンソフトを導入しているのですが、一部ウィルス定義の更新できていないPCがあってそこが感染したようです。その一台からW32.spybot.wormが検出されました。やはり一台づつ確認するしかないようですね。

yoshi-thk
ベストアンサー率38% (2059/5283)

2007/02/17 19:44 回答No.1

まずは、ウイルスの特徴を知った上で、対処されてはどうですか？というのは、ちょうど金曜日にNHK総合テレビのニュース解説のコーナーで、ポットウイルスについての解説をしていました。その中で、総務省と経済産業省の連携プロジェクトとして、「サイバークリーンセンター」というのが始動しました。そこで、ポットウイルスの情報や駆除ツールの配布をしてます。そちらのサイトの情報を参考にして、駆除方法を探すことを勧めます。サイバークリーンセンター https://www.ccc.go.jp/

質問者