- 締切済み
WORM_MAINBOTについて
取引先の施設で表題のワームが多数検出されました ウイルスバスターのコーポレートエディションで検出し、対策を見てみるとセーフモードで一部レジストリ値を書き換える様に指示があったので 書き換え用にREGファイルを作り対応してもらったのですがまだ検出しているみたいです ちなみに医療施設の為、自分は現場に入れないです ソフトで検出した対策以外ネットのどこを探してもそれらしい情報もなく どういったファイルで感染しているかもわかりません どなたか対策をご存知でしょうか?
- outhed
- お礼率72% (8/11)
- ウィルス・マルウェア
- 回答数3
- ありがとう数4
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- o_tooru
- ベストアンサー率37% (915/2412)
- o_tooru
- ベストアンサー率37% (915/2412)
こんにちは、おこまりですね。 さてご質問の件ですが、トレンドマイクロ社の情報は御覧になったわけですね。 >http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MAINBOT.MCL&VSect=Sn >検出したファイルはすべて削除してください。単体で動作する一個の >独立したプログラムであり、他のファイルへの感染活動はありません。 とありますから、感染源のファイルを削除すればいいと主ます。 私なりに手順をまとめますと、 1) サーバー側のパターンファイルを最新にする。 2) クライアント側のパターンファイルを同期する(最新の物にする) 3) アクロバットリーダーとフラッシュプレーヤーを最新の物にする。 4) WindowsUpdateをする。 5) クライアント側のLANケーブルを抜き、セーフティーモードで立ち上げる。 6) レジストリを変更する。(危険ですが、手作業が望ましいと思います) 7) LANケーブルを抜いた状態で、通常起動。 8) ウィルスバスターのクライアント側で、コンピュータを検索。 9) 問題なければ、LANケーブルを接続。 という手順になると思います。私なりに工夫したのはLANケーブルを抜くと言うところです。P2Pのプロトコルを使っている節もありますので、有効かもしれません。また、最近の傾向として、インストールされているアプリの脆弱性を突いてくることが多いです。(フラッシュプレーヤー・アクロバットリーダー等)。1台うまくいって、LANケーブルを接続してから、再度感染してしまうようであれば、ちょっとお手上げです。 もし不安であれば、トレンドマイクロの支援を受けることも必要かもしれません。頑張ってください。 とりあえず復旧した後は、業務の合間を縫って、本格的な対策を検証した方がいいですね。
お礼
ご返答ありがとうございます。 導入元の富士通と協議した結果 明日、パターンファイル等の更新を行い、全ての端末をチェックしてくれるとの事でした。 ウチは只の事務用品屋なのですが、私に多少の知識があるため、便利屋的な使われ方をしています… どうも感染元は部長達の部屋みたいで…… メールか何かから拾ってきたものがUSBメモリに入り拡大した模様です…
- kata_san
- ベストアンサー率33% (423/1261)
>ちなみに医療施設の為、自分は・・・ そんな悠長なことを言ってる場合ではないのでは? 責任者同士で話すなどして、リカバリィなどするのが正攻法ではないのだろうか? 他の端末に感染すれば、その医療施設が使い物にならなくなるだけだと思うのだが?
お礼
ご返答ありがとうございます。 いつも部署には言い聞かせるのですが、いかんせん上層部の意識が低いといいますか……… こちらに相談が来るまでに放置していたそうで… 感染はかなり拡大していました。 医療機器系統とはネットワークが分断しているので大事には至っていないようです。
お礼
VBの契約はその医療施設と富士通(医療システム担当)の間で取り交わされているので、走り回っている私にはあんまり関係なかったりしますが、 富士通との折衝役(施設のIT設備担当)とは仲が良かったりするので聞けたら聞いてみます。