- ベストアンサー
バックドア対策方法とMSEの検疫状態について
- バックドアの対策方法とMSEの検疫状態について教えてください。
- MSEで検疫状態になっていても、バックドアに感染したものと考えるべきでしょうか?
- バックドアの種類や過去の削除したウイルスを検索する機能はあるのでしょうか?
- Saitar
- お礼率79% (59/74)
- ウィルス・マルウェア
- 回答数6
- ありがとう数6
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
nekoboxです。 処理済ですから特にすることないです。 あとは先に私が示した「基本重要対策」守るように。MSEのような単体アンチマルウェアだけじゃ乗り切るの厳しいです。 --------- FEX2053が追加返答しなかったらとんだ知ったかってことになるよねw。こりゃ見物だわw。
その他の回答 (5)
- nekobox
- ベストアンサー率49% (195/397)
>もともと、セキュリティホールなんてバックドアが作っているものだから、 本体を削除してしまえば、問題ない はい、その通りです。 ただ、本来セキュリティーホールと言ったら一般的にはOSやアプリケーションソフトのプログラムにおけるセキュリティー上の欠陥を意味します。拡大解釈でバックドアによる侵入口もセキュリティーホールと言えばそうかもしれませんが、第一義的にはプログラムにおけるセキュリティー上の欠陥を意味します。 ちなみに、バックドアというのはクラッカーがセットするその名の通り裏口ですが、裏口と言ったって当然ながら物理的に通用口を設けるとかではなく、ネットワーク通信におけるコネクションの確保ですよね。コネクションというのは仮想通信経路です。 で、最近のバックドアによるコントロールでは実はクラッカー側からターゲットマシン(感染マシン)に接続しに行くわけではないんです。こうした順方向接続ではルータなどで弾かれてしまう可能性が高いからです。そこで、ターゲットマシンからクラッカーサイドのマシンに接続しにいくリバース接続を行うのが一般的になっています。これですと、ターゲットマシン側から見るとアウトバウンド通信になるのでルータを容易に通過できます。一般的にルータではアウトバウンドは素通しがほとんどです。 それと、私が先に示したURL先の内容は読めばわかります。 --------- ちなみに、#4さんは今回の事案がステルス(Rootkit)絡みだと何故判断できたのでしょうか。不思議です。ルートキットスキャンをスレ主に勧められて何かしら結果が得られたとかならともかくね。Hidden Objectのからくりとかご存知ならどうぞスレ主さんを導いてやって下さいなw。
お礼
ありがとうございました。
補足
回答を頂き、ありがとうございます。 イベントビューアーの確認により、検疫されたバックドアは、 Backdoor:Win32/Ursap!rts という名前であることが分かりました。 ネットで調べてみると、このバックドアは2011/7頃に作られたもので、ネットの記事からはwindows7には元々感染しないのではないか、とも思われました。いい忘れましたが、私のPCはwindows7です。 当該バックドアはwindows7でも感染の可能性はあるでしょうか。また、先に回答を頂いたようなステルス機能についてもこのバックドアに関して情報をお持ちでしたら、ぜひ教えて下さい。 先に大丈夫だ、とのアドバイスを頂きながら、情報漏洩が恐ろしく、未だにPCをネットから外したままにしております。具体的に検疫されたバックドアの名前が分かったことから、このバックドアの影響が例えば、windows7にないなら、より安心してネットに繋げるものと期待しております。 何度もすいませんが、宜しくお願い致します。
- FEX2053
- ベストアンサー率37% (7991/21371)
#2さんの言われるように「再セットアップ」は必須では無いです。 ただ、この手のバックドアを仕掛けるプログラムは、確かにOSに 影響は与えずに単独で動作はしますが、ステルス機能があって、 普通に検索して見つかるものじゃないんです。セキュリティソフトの 「駆除」「隔離」が信用できないなら、#2/3さんのような、その手の 「知識」と「スキル」が無いと、簡単には削除できません。 実際、一旦PCに潜り込むと、その手のウイルスは、その後にイン ストールしたセキュリティソフトでは検索できないような仕掛けを 施しますからね。OSの検索なんぞ、誤魔化すのは当然です。 ということで、「そこまでする必要は無い」事は確かなのですが、 「何も考えず再セットアップするのが、素人には結局速くて確実」 なんです。逆に言えば、再セットアップせずに頑張るには、それ なりの勉強と調査が必要ですよ・・・ということでもあります。 ・・・少なくとも、#2/3さんの挙げたURLは理解できないと(苦笑)
お礼
ありがとうございました。
補足
ステルス機能っていうのはかなり怖いように思いますが、やっと検疫できたバックドアを特定できました。 windowsのイベントビューアーでは、 Backdoor:Win32/Ursap!rts という名前になっています。このバックドアはご指摘のステルス機能を有しているでしょうか? ご存知であれば、ぜひ教えて下さい。
- nekobox
- ベストアンサー率49% (195/397)
すいません、nekoboxです。 あの、私つい最近MSEテストしてて気づいたんですけど、クラッカーはいつも言ってるように対策ソフト対策してくるわけですが、 MSEは下の画像で示す難読化ツールを使った難読化にまったく対抗できないようですね。ちなみに最新verですけど。このツールその筋の世界ではかなり有名なものでして現在でも継続的にアップデートされてるようです。 こういうのは実際に自分でやってみるとわかります。本当に検出されなくなるかどうかね。もちろん、固有名詞はお教えできませんが。 で、私がいつも言ってるように、今はもう単体アンチマルウェアソフトだけではどうにも対抗できないですよ。マルチエンジンのスキャン回避も難しくなくなってますので。 [重要基本対策] http://www.forest.impress.co.jp/lib/inet/security/antiadspy/secuniapsi.html http://support.microsoft.com/kb/2458544/ja Microsoft Update ブロードバンドルータの使用 有力総合対策ソフトの使用(include HIPS or Behavior Blocker) クリーン状態のシステムバックアップを定期的に取る JRE(Java Runtime Environmen)をインストールしてたら即刻アンインストール ※ 今は脆弱性を放置しておくと、普通にWeb見るだけで感染する可能性あります。←この認識が無いひとはネット使うべきではないと言えるほど重要。 http://itpro.nikkeibp.co.jp/article/COLUMN/20120817/416402/
お礼
ありがとうございました。
- nekobox
- ベストアンサー率49% (195/397)
こんにちは。 >MSEで検疫状態になっていても、やはりバックドアに感染したものとして考えるべきなのでしょうか? いえ、感染はしていません。#1が言うような再セットアップなんて必要ないです。 で、別にバックドアはOSに取り付くわけではありません。単にOS上で動くプログラムです。 あと、↓ http://www.microsoft.com/security/portal/Threat/Encyclopedia/Search.aspx?query=backdoor
お礼
補足への回答を頂き、ありがとうございました。
補足
ご回答頂き、ありがとうございます。 再セットアップが必要ないという情報は初めて拝見しました。 私が調べた範囲では、仮にバックドアに感染した場合はそれ自体を削除しても、 セキュリティホールが残ってしまい、そこから不正アクセスされてしまうので、 根本対処のためには再セットアップが必要、というものが多いのですが、この セキュリティホール残置説について、ご見解を頂けると有難いです。 (もともと、セキュリティホールなんてバックドアが作っているものだから、 本体を削除してしまえば、問題ない!等) もちろん、頂いた情報は参考とするのみであり、具体的な対処は自己責任で実施 致します。 もし、許されるなら上記についてコメントを頂けると幸いです。
- FEX2053
- ベストアンサー率37% (7991/21371)
バックドアを仕掛ける広義のウイルスは世界中に蔓延しており それが「検疫」されたからと言って、即「感染」ではありません。 多くはセキュリティソフトで弾かれてしまうんです。 また、最近はしばしば「誤検出」もあり、検出されたからと言って それが「ウイルス」であるかどうかも定かではないですし、最近 の悪質なウイルスは、あなたの情報ではなく、あなたを踏み台 にして、他の「お金がある所」にアクセスするだけ、って場合が 普通で、何かするまでに時間差がある事が多いんです。 MSEは、検出力がそれほど高くないセキュリティソフトですが、 まずは「検疫」されたソフトの種類をチェックし、それがどの程度 問題があるものか確認された方が良いですよ。「バックドアを 仕掛けるウイルスが混ざっている場合がある」だけのことも結構 多いんですから・・・。 ということで、90%位の確率でそれは「ウイルスが正常に弾か れた」だけだと思います。 気になるなら、データを退避して再セットアップすれば、最近の ウイルスはすべて消えてしまいます。下手にOSに取り付いて PCを不調にすると「踏み台」の役目を果たしてくれませんから。 ちなみにMSEの検出ログは、イベントビューワーに残ってた記憶 があるんですが、これ、チェックが大変なんですよね・・・。
お礼
回答を頂き、ありがとうございます。 90%ですか。。。高いような全くダメのような微妙な数字ですね。 ネットを検索しても、ご指摘のように再セットアップを推奨する 書き込みが多いので、いざ、と思っているのですが、再セットアップ 環境を揃えるだけでも困難な状況から躊躇してネットから外しっぱなし にしている状況です。 本当に困ったものをばら撒くやつらを呪いたいです。。。 なお、No.2さんから再セットアップの不要説を教えて頂きましたが、 これについてもしご見解をお持ちでしたら、教えて頂けると助かります。 今回はどうもありがとうございました。
お礼
回答頂き、ありがとうございます。 パソコン暦は長いのですが、実際にウイルス(マルウェア)に遭遇するのが初めてで(今までが運が良かった?)必要以上に怖がっているようですね。 nekoboxさんのお陰で随分と安心しましたが、この機会に他にも情報を頂ける方がいることを期待しまして、もう少しこの質問を開けておきたいと思います。
補足
質問を上げておくつもりでしたが、これ以上不安を抱えているもの考えものですので、ここで本質問を閉じさせて頂きます。今回はどうもありがとうございました。