- ベストアンサー
なぜこのウィルスに感染したのでしょうか・・・
最近、ウィルスに感染してしまいました。W32.LicumまたはTengaというワームで、EXEファイルをどんどん改変して広がっていき、最終的にPC起動もできなくなるといったものです。最初ノートンアンチウィルスが検出したのですが、すでに感染が広がってPC内のほとんどのEXEファイルが改変された後でした。 以下がこのウィルスのレポートです。 http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=412 http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2... http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.mspx 最近リモートデスクトップでモバイルからアクセスしようとしたりする設定がうまくいかず、一時的に手っ取り早くルータを外したり、ファイヤーウォールソフトを無効にしたりしていたのでセキュリティ的には無防備だったのですが、それもほんの1~3日ぐらいの間でした。 ただ、いくらFWを無効にしていたとしても、ウィンドウズアップデートもこまめに行っていたのでこのウィルスに対する脆弱性もカバーできていたはずですし、ノートンアンチウィルスも正常動作していたので、なぜ侵入し、どんどん感染して行ったのか疑問です。実際、上に貼り付けたマイクロソフトのサイトからパッチをダウンロードしてみましたが、すでにそれより新しいバージョンの更新が導入済みということでセットアップできませんでしたし。ウィルス自体、2年前の古いものです。 今後安易にルータをはずしたり、ファイヤーウォールなど無効にしたりしないように気をつけたいと思いますが、かといってなぜこのウィルスに感染したのか謎は解けず、不安は消えません。お詳しい方アドバイスお願いいたします。
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2005-071316-2523-99 シマンテックによるW32.Licumの情報ページには次のように書かれてはいます。 ***** W32.Licum は、Microsoft Windows DCOM RPC インターフェースバッファオーバーランの脆弱性 (マイクロソフトセキュリティ情報 MS03-026 参照) を悪用して拡散する可能性があるファイル感染ワームです。 ***** しかし、あくまでも『可能性がある』という表現にとどまっています。ここに注意、だと思います。つまり、DCOMに脆弱性があることでそれを利用することによる感染の危険性は高くなるのでしょうが、逆にDCOMに脆弱性が無くなれば感染する可能性はない、というふうにも読み取れないのですね、この文書の内容は。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE%5FTENGA%2EA&VSect=P トレンドマイクロのPE_TENGA.Aに関する文書では、『共有フォルダを介して感染』などと書かれています。質問者さんの環境ではリモートデスクトップを利用してらっしゃるようなので、ファイアウォールが無効の状態では135番や137~139番など共有に関係する各種ポートがオープンの状態にあったと思われます。これらのポートを利用して今回の感染が行われたり、あるいは他の感染を介して該当の感染が行われた可能性は十分あると私には思われます。 シマンテックの文書にも『ポート: TCP ポート 139』との表記はありますしね。 Norton AntiVirusについても…以前は様々な感染に対応していて、これ1つでかなりの安心感は持てたように思われますが、最近ではノートン製品などシェアの高いウイルス対策製品から検出されにくいよう工夫された脅威もいろいろ出て来ているようです。 http://www.itmedia.co.jp/enterprise/articles/0705/25/news075.html http://internet.watch.impress.co.jp/cda/news/2006/10/11/13584.html 悪質なプロセスの隠蔽を図るrootkitのようなものもありますし、複数の感染が組み合わされたり、人為的に不正侵入が行われたりした場合には、数年前に対応済みの脅威が結果的に防げなくなる可能性も出てくることは当然考えられると思います。
その他の回答 (5)
- waros99
- ベストアンサー率29% (162/544)
う~ん、どうですかね。ネットワークワームですけど、RPC DCOMの脆弱性は複数ありましたからね。 >それもほんの1~3日ぐらいの間でした これは甘いと思います。不正なExploitコードなんて日常的に腐るほど飛んでますから。 結果的にちゃんとパッチが当たっていなかったか、偽装された実行ファイルを自分で起動させたとか。モバイルマシン経由も考えられるし。 フォレンジックじゃないけど、とりあえずイベントビューアでも見てみたら。
お礼
ご返信ありがとうございます。 被害にあったPCはOS再インストールしてしまいましたのでこれから検証することはできませんが、とりあえず原因は私の危機感不足が大きかったのですねぇ。 ダイヤルアップのころはルータやFWなどなかったので、パッチを入れていればOKだろうなどと甘く考えておりました。今回FWの大切さを認識いたしました。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
参考程度に ルーター無し、ファイアーウォール無し、マイクロソフトの更新を完了しているパソコンでネット接続 ↓ 135、445番ポートが開いていた。pingにもよく応答する。しかもpingを打ってくるところは80番ポートにもアクセスしてくる。「サーバーがほしいのか?」 ↓ およそwindowsではないパソコンからのアクセスがやってくる、しかも同じところから何度もアクセスしてくる ↓ この状態のパソコンはアクセスに対して許可する 135番ポートはたいしたことなかったが、感染寸前でアクセス拒否していた。445番ポートは違ったところからアクセスが何度もやってきた。このポートの場合、相手に自分のパソコン名がばれてしまう。 ↓ このままではまずいと思ってファイアーウォールを有効に戻した。1時間。 windows XP SP2
お礼
恐ろしいですねぇ。 今回の件でファイヤーウォールの大切さを認識いたしました。 ご返信ありがとうございました。
- ussvoyager
- ベストアンサー率50% (58/116)
まず、貴重な体験談をありがとうございます。 >>いくらFWを無効にしていたとしても、ウィンドウズアップデートもこまめに行っていた・・・、なぜ侵入し、どんどん感染して行ったのか疑問です ほんとそうですね。このウィルスに対する脆弱性は解決済みのはずなのになんで感染したのか疑問が残りますね。 >>最近リモートデスクトップでモバイルからアクセスしようとしたりする設定 リモートデスクトップで使うTCP3389はクラッカーにとっておいしいポートらしいです。もしかして、これが開いたままになっていたのではないですか。詳しいことは私のスキルではわかりませんが。 こういうワーム系はルータやPFWが有効な手段だと改めて思いました。
お礼
ご返信ありがとうございます。 おっしゃるとおりです。私もルータ、PFWの大切さを再認識いたしました。痛い目をみないとなかなか危機感がおきないものですね。
- 123admin
- ベストアンサー率52% (1165/2221)
スキルがある方の様ですのでご存知とは思いますが ウイルス対策 http://pc.nikkeibp.co.jp/pc/itsecurity/virus/index.html#norikae で敗因の要素としては ルータ外した事やセキュリティのレベルを自ら無効にした事でしょう。 「弘法も筆の誤り」「魔が差した」訳ですが、今回のワームは感染すると対策ソフトの機能を停止させて本隊を呼び込むタイプの様です。 有名な対策ソフトのプロセス名は分かっているのですから簡単にKILLできますね。 まぁその為に対策ソフト自身もパスワードを持って自衛しているのですがそこまでするユーザーはどんだけいるか? で、ウイルス作成者にとって目の上のコブである対策ソフトを掻い潜る為には有名対策ソフトを無効にすれば後は好き勝手できるPCが手に入る訳です。 おまけにPCユーザーは対策ソフトが入っているからと挙動に関して無関心になってるしね。 個人的にはその点を考慮してマイナーな対策ソフトを選択してきました。 その代わりウイルス対応はどうなのかとドキドキしながらオンラオンスキャンやツールを駆使してきました。 まぁデータ自体が感染している可能性は低いはずですし、感染していても駆除はある程度可能な筈ですので潔くリカバリしてください。 リカバリ応用編 改訂版 http://iwata.way-nifty.com/home/2006/02/0206.html
お礼
ご返信ありがとうございます。 確かにソフトが入っていることで危機感がなかったと思います。昔はルータなどありませんでしたので、むしろ利便性を阻害する邪魔モノにすら思っておりましたので恥ずかしい限りです。 ノートンは度々ウィルスから守ってくれましたのでよいソフトですが、今回いろいろ勉強してセキュリティソフトの改変にも対応するものを探しまして、新規にカスペルスキーインターネットセキュリティを導入ししました。リモートデスクトップソフトもXP標準のものではなく別なものに変えました。インストーラの実行ファイルもまとめてやられてしまいましたので、今後はZIPに圧縮して保存するようにいたしました。 今後気をつけたいと思います。
- pekingenjin
- ベストアンサー率21% (21/98)
ノートンのウイルスセキュリーティーは動作していたのは分かりますが、リアルタイム監視の機能はちゃんと正常起動していましたか? ウイルスが入った後スキャンしても手遅れです。
お礼
ご返信ありがとうございます。 今現在は被害にあったPCはOSから何から再インストールしてしまいましたのでどうなっていたかわかりませんが、リアルタイム監視機能が正常に働いていたように思います。 実際、スキャン中ではなく突然検出しましたので。 FWをきっていたのが最大の原因だったと思いますが、アンチウィルス2005でプログラム自体がやや古かったことも問題だったのかもしれません。ノートンはよいソフトでずっと愛用しておりましたが、改めて注意を向ける意味でも今回新規にカスペルスキーを導入してみました。
お礼
なるほど、セキュリティパッチも確実ではないわけですね。 ユーザーの多いソフトが安心だと考えておりましたが、必ずしもそういうわけではないのですね。PCは復旧しまして、今回新規にカスペルスキーインターネットセキュリティを導入してみました。 今後はもう少し気をつけようと考えております。