トロイの木馬？

>知り合から、会社のPCが「トロイの木馬」に感染しているかも・・・と相談を受けました。 >VBのファイヤーウォールログを見ると、Win2000の３台だけ >『トロイの木馬』に感染したような形跡があるそうです。 >送信元IPアドレス：問題のPCのローカルIPアドレス >送信元ポート：139 >送信先IPアドレス：LAN内の別のPCのIPアドレス >送信先ポート：1120もしくは1243 VBから、実際に警告があったんでしょうか？それともLOGを 見たら"怪しい"ポートへのアクセスがあったので心配している のでしょうか？ 実際のLOGと、その前後のパケットの状態を見ないと確かな ことは分かりませんが、送信元のポートが139(NetBIOSに よるネットワークで最も多く使われるポート)で、送信先 が1120や1243ということで、最も可能性が高いのは、Windows でネットワークを行うために、あるPCが他のPCのポート139 へアクセスした後の"返事"のパケットであるというものです。 つまり、あるPC(A)がポート1120(or 1243)を使って、他の PC(B)のポート139と通信をした場合、Bからの返事は、Bの port139から、Aが使用したポート1120 or 1243に返ること になり、それがログに記録されたということです。 1024より上のポート番号は、どんなプログラムが使っても いい番号です。ですので、プログラムがネットワーク越しに 通信する時は、1024より上の番号を適当に使って通信します。 たまたま、1120や1243と言ったポートを使うことが無いとは 言い切れません。1120や1243がトロイの木馬のプログラムに 使われる事が多いとしても、それらのプログラム"しか"使わ ない分けでは無いのです。 >その場合は一体どのようなプログラムが使用しているのでしょうか・・・。 >2000のみというのも気になります。 この場合、もし自分が上で言った様なことであるなら、使用 しているプログラムは、OS(のネットワークを司るサービス) 自身と言うことになります。 なぜ2000だけか？は、まぁ、たまたまでしょう。多分。 それでも気になるのなら、"Ad-ware"などのスパイプログ ラム検出ソフトを使って見ても良いかもしれません。