- ベストアンサー
ウィルスは完全に削除できない…?
Klezの亜種とLovGate、NimdaにLAN経由で感染しました。OSはNTと2000です。 Adminでそれぞれのウィルス用に作成された駆除ツールを実行し、ノートンもインストールして、複数回ウィルス駆除を行いました。普通にスキャンしても、ひっかからなくなったので、きれいに除去されたと思いきや再起動すると、リアルタイム検索で"NetService.exe"が引っかかります。 ちなみにAdminでログインして検疫→確認しても、指定の場所にそのような名前のファイルは見つかりません。 毎回検疫で削除していてもいいのですが、まだウィルスが残っているかもしれないと思うと、不気味です。よい対処法をご存じの方ご教示ください。
- fishpaw
- お礼率52% (21/40)
- ウィルス・マルウェア
- 回答数5
- ありがとう数6
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
#2です。 >社外からのメールあるいは社内でやりとりするメールの >セキュリティチェックはかなり厳重に行っているので・・・ メールサーバにはちゃんとウイルス対策ソフトが入っていると言うことなんでしょうね。個々のPCには手が回らないからともかく出入り口だけでも固めるというのは良くある選択です。 が、それでも個々のPCの対策は必要という良い例になってしまいましたね。 レジストリはそのように考えておく方が良いです。 ものによっては起動時にレジストリに書いてあるものを呼び出そうとしたら感染ファイルとして削除されてしまっていたので先に進めなくなった=起動できなくなったなんて2次障害もあります。 ところで「ほとんどの人が定義ファイルの更新もしていなかったようです」ってのは「それじゃ~無いほうがまし!」ですが、その前に気になるのは「古いものを共通で使用しており」とはどういうことなんでしょう。 もしも1ライセンスを使いまわしなんてことならそれは「違法行為」になってしまいますよ。 あとタダで出来る有効な対策。Windows Updateで最新のサーヒスパックに更新をしてください。それだけでも「HPから感染!」は無くなりますし、「メールから自動感染」なんてのも防げます。 メールサーバで出入り口を固めてもHP参照は別物ですから。 PS 担当者が別にいるなら現実問題ではその人の判断に任せるしかないですね。 ただし、事が収まってから「もうちょっと強化したほうが良いんじゃないか」ぐらいは提案したほうが良いかもしれません。なるべく非難にならないように。 場合のよっては予算制約で苦渋の選択の担当者にとっては願ってもない援軍になるかもしれませんよ。
その他の回答 (4)
なるほど。 >Nimdaは、「ごく一部のPCで見つかった」 そういうふうに記述はされていないと思いますが、立場や状況はわかりました。 #4さんのおっしゃる通り、担当者がいるのならお任せした方がいいでしょう。 そういう立場なら、その会社のポリシーですので従うしかないでしょう。 ワタシは Nimda の例を出しましたが、 Klez や Lovgate でも同じことです。 担当者とは別で、自分の PC は自分でお守りすることをお勧めしますが。 気になるのが、メールでのブロックは完璧のハズなのに侵入されたということです。 きっと、 Web メールなどのブロックも完璧だったのでしょう。 汚染されたデータを外部から持ち込んだという可能性とか、文字の世界では推測しかできません。 メールのブロックが完璧だということであれば、侵入経路を探し出すことは逆に厄介かと、個人的には思います。 変わった侵入経路では、 Web メールを通常のメールアカウントに設定し受信していた例もありました。 ホント、メールのブロックだけでは不十分という実例を、目の当たりにされましたね。
感染は、メール/ LAN /ホームページ、とネットワーク経由です。 Nimda はすべての感染経路を持っています。 Nimda に感染したホームページは観ただけで感染します。 メールの差出人を偽造するのは Klez が有名です。 LAN 内でウイルスが蔓延した以上、感染元とかは無意味です。 既に、すべてが感染元です。 そんなことより重要書類をバックアップして、すべての PC を LAN から遮断しリカバリです。 出向だからとかアルバイトだからとか、言ってる場合や状況ではないんです。 どんどんリカバリして、ワクチンソフトとパーソナルファイアーウォールをインストールして防御していかないと、サーバやネットワークが落ちます。 すべての活動に「大量」が付く程、システムに負荷がかかります。 「大量」にウイルスをばら撒きます。 ワタシ毎ですが、1分間で数千件 Nimda の攻撃(侵入しようとした)を受けたことがあります。 当時 Nimda がニュースのトップになったのも、おわかりかと思います。 Nimda に感染するのですから、他のウイルスは出入り自由です。 #出向だからとかアルバイトだからとか、言ってる場合や状況ではないんです。 決議権(社内に通知できる立場)を持っている人を捕まえて、どんどん処理していかないと、大変なことになってしまいます。 恐らく、「大量」な数をメールで顧客にもばら撒いているものと思われます。 信用は失い、加害者としての責務を問われるかもしれません。 セキュリティに関しては、対策ゼロと言っていいでしょう。 見直しが必要です。 無料で相談に乗ってくれる政府機関がありますので、強くお勧めします。 「IPA情報処理振興事業協会」 http://www.ipa.go.jp/security/isg/virus.html (一番下、問い合わせ先参照)
お礼
ありがとうございます。 もう一人の回答者の方へのお礼にも書いたとおり、Nimdaは、「ごく一部のPCで見つかった」だけです。おそらく以前感染したものが駆除しきれず静的な状態で残っていたのだと思われます。 今回ひろがった感染はあくまでLovgateとKlezでした。 社外、社内ともにメールでのやりとりは、かなり厳重にチェックがかかっていますので、汚染メールを流すということで社会的信用を失うという事態にはなっておりません。 (社内LANに広がっていることだけでも十分信用はないでしょうが…) 社内の感染PCも少なくなっていますし、担当のかたは、駆除の繰り返しでなんとか事態をのりきるという心づもりのようです。 アルバイトとか出向とかいうのが無意味だというご意見は、警句として真剣に受け止めたいと思いますが、こちらにも分というものがありますので、担当の方の判断をおして全PCをリカバリしろとまではいえません。 今回のことを教訓として、同じようなことがおこらないように自分のPCだけはしっかり守りたいと思います。 ありがとうございました。
環境が良くわかりませんが、「LAN経由で感染」ということは会社でしょうか? だとしたら最悪ですね。 LAN上の全てのPCを対象に大掃除をしなければいたちごっこでしょう。 #1のEinaさんと同意見ですが「現実を考え」たらバックアップ後に再インストールが最も安全で確実な方法です。 会社のLANでセキュリティ対策に神経質になるのは万一感染した場合の被害が個人の比ではないからです。 被害は既に起こってしまっているんです。再インストールで起こるんではありません。 Nimda が流行したとき、多くの大会社がインターネットとの接続を遮断して検査・駆除を行いました。私のところにも「LANが止まって見積書が作れない、明日まで待ってくれ」なんて電話が。 もっとも貴方の立場にもよりますが。 学校のLANとかならしょうがないから自分の使うPCだけでも守るんですね。 間違ってもファイル共有など開かない。やっかいですね。 家庭内LANなら話は簡単、あきらめてみんな再インストールです。 ウイルス対策ソフトは外部から侵入しようとするウイルスはほぼ確実に叩き落としますが、既に感染してしまった場合の駆除は完全自動では出来ないことが多いです。 どうすれば良いかはウイルス対策ソフトメーカーのHPの、そのウイルスについての詳細情報に書いてあります。一例をURLに挙げておきます。 書かれている内容が完全には理解できない場合は再インストールしかありません。 理解できた場合はやってみることも可能ですが、しかし3種類となれば再インストールの方が業務停止時間は早いと思いますよ。 万一漏れがあったら元の黙阿弥ですし。
お礼
ありがとうございます。会社での感染です。 LAN経由で、メッセンジャーサービス(?)を使って、ウィルスをばんばんほかのPCに送りつけるという動作をしていました。 社外からのメールあるいは社内でやりとりするメールのセキュリティチェックはかなり厳重に行っているので、メールからの感染をこれまでほとんど経験しておりませんでした。セキュリティに対する認識が甘かったのだと痛感しております。感染源については、いまだにはっきりしません。 またウィルスソフトはNorton Antivirusの7.0というかなり古いものを共通で使用しており、ほとんどの人が定義ファイルの更新もしていなかったようです。 上記の参考URLを見たのですが、 ウィルスが行ったレジストリへの追加を削除しないかぎり、起動とともにウィルスが再生されると考えねばならないということでよいのでしょうか…? その作業で仕事に支障がない程度にクリーンアップされるのであれば、多少レジストリの編集という危険をおかしても、チャンレンジしたいと思います。 ご丁寧にありがとうございました。
感染経路は何であれ、複数のウイルスに感染したということですよね。 ワタシなら、全 PC リカバリをします。 「現実を考えろ!」と言われそうですが、複数のウイルスに感染し完全に復旧できない?というのも現実なのです。 小手先のアドバイスは、気休めに過ぎません。 全 PC リカバリ後、全 PC ウイルス対策が必要です。 状況がよくわかりませんが。 ウイルス対策して既存のウイルスに感染したということなら、対策自体に問題があります。 Nimda はかなり古いウイルスです。 最新のウイルス対策をお勧めします。 さもなければ、再びウイルスに感染するでしょう。 ご参考です。 判断は、ご自分の責任でお願いします。
お礼
ありがとうございます。 PCのリカバリも視野に入れて、ウィルスソフトの更新だけでなく、OSのアップデートなども呼びかけようと思います。両方とも常識なのだと思いますが…。 ただなにぶん私の場合、出向でそちらに入っているという立場なので、どこまでなにが言えるかというのは疑問ではありますが。 恐縮ですが、メール以外の感染源として、可能性があるのはどのような媒体でしょうか? メールのウィルスチェックはそうとう厳重にやっているようで、メールを介しての感染というのはあまり可能性がなさそうです。ネットからのダウンロードというのがいちばんありそうなのですが、感染元と思われるPCの持ち主は、怪しげなデータをダウンロードしたりした記憶はまるでないといっています。また、ほんとうの感染元を偽装するようなウィルスもあると聞いたのですが、どのように偽装するのか、もしお心当たりがなら、おしえていただければ幸いです。
お礼
ご返事ありがとうございます。 Nimdaの件ですが、書きこみ前に削除してしまったようで、読み返してみたら掲載されていませんでした。失礼いたしました。 メールのブロックがかなりしっかりしていたせいで、ほかの経路からの感染に対する認識が甘くなっていたのだと思います。(アウトルックEXを使用していた一部のPCからウィルスメールが送信され始めた瞬間に、セキュリティ担当から、ウィルスメールを送信してるのでLANから外して駆除してくださいという連絡が入ったそうです。当然そのメールはサーバーで検疫を受けています。また、ウィルスに狙われにくいEUDORAを標準メーラーとして使用するよう指導がされていたために、ウィルスメールを発信するPCは非常に少なかったようです) 探し出すのが困難とご指摘のあった侵入経路の話で恐縮ですが、感染源とされているのは、わたしの隣の席の同僚のwindows2000マシンです。OSは、2000でも初期のもののようで、当然パッチなども当てていませんでした。 そのPCで、あやしげなページを見たとか、おかしなデータをダウンロードしたなどという事実はないそうです。ただ、Adminのパスワードを空欄にしていたらしいので、ほかのPCを経由してLANに入り込んできたウィルスが、その同僚のPCをのっとってウィルスをばらまいたということになる、のかなあと考えております。 Adminをノーパスにしてたのは、非難されてしかるべきでしょうが、ほぼ全員が、定義ファイルの更新をかなり長い間(2、3年くらい)おこたっていたようですし、みんな五十歩百歩じゃないか!と思っています。彼ばっかりが部署内では非難されているのですが。実際、どのPCからウィルスが侵入したのかもわからないのですし。 いろいろとまとまりの悪い相談をしてしまったために、回答者の方を困惑させてしまったようで、お恥ずかしい限りです。 メール以外からの感染でここまで大変なことになった経験がなかったので、ほんとうにウィルスの怖さが身に染みました。二度と同じ様なことがおこらないよう、部署の人にOSのアップデートとウィルスソフトのアップグレードを奨励したいと思います。