- 締切済み
Hacktool.Rootkit について
先日、ノートンのセキュリティソフトでスキャンを行ったところ、 「Hacktool.Rootkit」が検出されました。 結果は削除に成功したとの履歴がありましたが、 その後、内蔵されているリカバリプログラムを利用して リカバリしました。 このような状態の場合、 「rootkit」は完全に削除されている状態であると認識してもよいのでしょうか? もし内臓のリカバリプログラムが 「rootkit」が残されるよう改変されていたとしたら、、 とか考えるとちょっと心配です。 よろしくお願いします。
- みんなの回答 (7)
- 専門家の回答
みんなの回答
- waros99
- ベストアンサー率29% (162/544)
#5です。 >他のリスク(情報流出など)はなかったと考えてもよいのでしょうか? そこまでは計りかねます。
- waros99
- ベストアンサー率29% (162/544)
#5です。 >システムの復元などの設定を全くいじらずに リカバリしましたが、 別に問題ないのでしょうか はい、問題ありません。もし、どうしても気になるというのなら、 「システムの復元」を一旦「無効」にして再度「有効」にして下さい。 この一連の操作でリストアポイントが破棄されます。 前回、カーネルモードRootkitの説明でカーネルモードAPIのフックと書きましたが、これ以外にもカーネルオブジェクトの直接操作というパターンもあります。(余談)
- waros99
- ベストアンサー率29% (162/544)
こんにちは。 ボクは黒いサイトの潜入調査や仮想マシン上でいろいろなテストをしています。 >結果は削除に成功したとの履歴がありましたが、 その後、内蔵されているリカバリプログラムを利用して リカバリしました。 これはまったく正しい対処法です。 >このような状態の場合、 「rootkit」は完全に削除されている状態であると認識してもよいのでしょうか? はい、まず問題ないと思います。 >もし内臓のリカバリプログラムが 「rootkit」が残されるよう改変されていたとしたら、、 とか考えるとちょっと心配です。 これは考え過ぎです。そこまでまずやらないです。 ちなみに、ルートキットはユーザーモードRootkitとカーネルモードRootkitがあります。 >SYSTEM32にrdriv.exeファイルを作るTrojan.Rootkit.lが検出され、 リカバリしても消せなかった という記述があったのです。 rdriv.sysだと思います。カーネルモードRootkitですね。ドライバ使ってカーネルモードAPIをフックさせます。
お礼
ありがとうございます。 rootkitの検出→削除後、 スタートプログラムに「システムの復元」の項目が出たので 勝手に復元されたのかとちょっと心配です。 また、僕のOSはウィンドウズvistaなのですが、 システムの復元などの設定を全くいじらずに リカバリしましたが、 別に問題ないのでしょうか。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
シマンテックのサイトを見ても「危険度 1: ほとんど影響なし」 またリカバリするよりは、スキャンしても何もないのだから、そのままでいいのでは。 リカバリするよりは、毎日ノートンのログを確認したり、windowsのイベントビューアを確認したり、セキュリティについて日常的なことをしてはどうですか。 「発見場所はあるブラウザの入っているフォルダ」
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
>>以上の2点が少しひっかかっている点 不安を消したいならハードディスクのデータをすべて削除、それからリカバリしてはどうですか。 windows XP SP2を使っていますが、二つのドライブには両方にシステムの復元のための特別のフォルダーがあり、リカバリ「直後」では、リカバリしたのにリカバリしていないドライブのほうには、以前使っていたセキュリティソフトを見たことがあります。たまたまそうなったと思えないですけど。CだけリカバリしてもDのものは全部残っているはずですよ。 自分なら、ルートキットの検出には、ハードディスクの全データを削除し、それからリカバリしますね。あるいは、リカバリ時にドライブの領域変更、または、システムの復元を無効にしてからリカバリ。 スキャンをかけても見つからないようにするのは当然でしょう。 なぜそんな陰湿なことまでして不正プログラムを見つからないようにするか、考えてみては。 ルートキットはカーネルレベルとか、アプリケーションレベルとか、格の違いがあるみたいですよ。 「SYSTEM32にrdriv.exeファイルを作るTrojan.Rootkit.lが検出され」 これは知りません。 ルートキットスキャナーのスキャン結果は出たのでしょうか。
お礼
参考になりました。ありがとうございます。 ルートキットスキャナーの結果は、何も検出されませんでした。 9割がた安全と認識してもよいのでしょうか? 一応すべて削除してからもう一度リカバリしてみたいと思います。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
リカバリしたので大丈夫だと思います。 専門家ではないのでブラウザから発見されたからと言って何かアドバイスできるものはありません。 当方ブラウザは重要なソフトと考えています。それで今はfire foxにいくつかのアドオンを入れて少しでも安心できるようにしています。 https://addons.mozilla.org/ja/firefox/addon/722 ノースクリプト。サイトごとに設定できるもの。IEだと全国一律ですが。 https://addons.mozilla.org/ja/firefox/addon/938 Dr webのリンクチェッカー。掲示板などのリンクをそれで検査できる。ウイルスの。 http://www.siteadvisor.com/download/ff.html サイトアドバイザー。マカフィーのものですが、訪問先のサイトを色分けで表示。 もし、ハードディスク上からすべてのデータを削除したら、どこにも残せるところはないですが。でも、パソコンメーカーによってはハードディスクにリカバリ用のデータを入れているものではあらかじめリカバリディスクを作成しなければなりません。 リカバリ用の領域に疑いをかける必要はないらしい、ですが、それは質問者さんの判断でしょう。 もうノートンのほうでスキャンかけても検出しないのでしょう、ないということでは。
お礼
ありがとうございます。 確かにリカバリ後に、ネット接続を外した状態で 様々なセキュリティ・スキャンを かけてみたのですが、何も出てきません。 ただ、ちょっと心配なのが、 rootkitはスキャン時に自らを隠ぺいさせる可能性があるという点 そして、これはネットで調べてみたのですが あるブログで、 SYSTEM32にrdriv.exeファイルを作るTrojan.Rootkit.lが検出され、 リカバリしても消せなかった という記述があったのです。 以上の2点が少しひっかかっている点です。
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
Hacktool.Rootkit http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2002-011710-0057-99 ルートキットスキャナー バスターのもの http://jp.trendmicro.com/jp/support/extermination_tool/rkb-licence/index.html マカフィー http://vil.nai.com/vil/stinger/rkstinger.aspx その他 http://www.resplendence.com/hookanalyzer ハードディスクを二つに分けていてシステムの入っている部分のリカバリをやれば大丈夫だと思いますが、専門家ではないので断言はしません。 いったいどこからやってきたのでしょうか、見当もついていないようだけど。 最近ではやばいサイトにアクセスしたら、ルーターのDNSをどうにかするとか、記事がありました。 http://itpro.nikkeibp.co.jp/article/NEWS/20080123/291817/ この場合、メールでサイトへ誘導するみたいです。 原因がわかれば安心感も出ると思います、他に不正プログラムがないかオンラインスキャンをしてはどうですか。 http://www.f-secure.co.jp/v-descs/disinfestation.html このスキャンはIEで動作します。
お礼
ご回答いただきありがとうございます。 リンクして頂いた部分を参照にしながら さらに詳しく調べてみたいとおもいます。 侵入経路などはよくわからないのですが 発見場所はあるブラウザの入っているフォルダでした。 ということはこのブラウザから侵入されたと 考えてよいのでしょうか?
お礼
丁寧にお答えいただきありがとうございます♪ 私が感染したと思われるrootkitを セキュリティサイトで調べたところ 「この不正プログラム(rootkit)は、 他の不正プログラムが 自身の不正活動を隠蔽する際に利用されるSYSファイルです という記述があったのですが rootkitだけ検出されて、他のスパイウェアが検出されていなければ 他のリスク(情報流出など)はなかったと考えてもよいのでしょうか?