ルーター及びADSLモデムには感染しますか？

質問内容がNo.1474243の404not_foundさんに類似していて申し訳ないのですが。。。。

自宅のPC（DESKTOPとNOTE）が複合TROJ及び、なんらかのVIRUSに感染したようです。

環境としてはYAHOO！BBの8メガモデムにBAFFALOの無線ルーター（WLS-L11-SL）を接続し、DESKTOPを有線で、NOTEを無線でつないでいます。

経緯を書くとあまりに長文になってしまうため控えますが、HDDはもちろんのことBIOSまでイカレているようです。（VIRUSに関していえばおそらくCIH系のもの？のようです）

当然RECOVERYをかけたりだとか、BIOS書き換え（これに関しては書き換えることすらできません）、物理FORMAT（0データ書き込み）、CMOSクリア、ON LINE SCAN等々、NETで検索し自分自身でできる対処策はすべて試してみたのですが状況は好転しません。（具体的に言えば、たとえばlocalhostでcoolweb.comに接続されてしまいます。）

そこで2台のPCはOFFLINE用で残し、「DESKTOPとNOTEを新しいPCに買い換えるしかない」という結論に至ったわけですが、できれば安全に使えそうなものは流用したいと考えているわけです。

そこで質問です。

1、たとえば感染したVIRUSがCIH系のものだったと仮定して、（BIOSを使用していると思われる）無線ルーターとADSLモデムは交換しなくて大丈夫でしょうか？

2、YAHOOの場合、（見た目は少なくとも）正常に動作しているモデムの交換はしてくれるのでしょうか？　（モデムはレンタルで借りています）


長文で申し訳ございません。

賢者の方々、お知恵をお貸しください。

No.4 ベストアンサー 回答者： hoihence 回答日時： 2005/06/28 13:38

こんにちは。

これまでの経緯を読みました。
これはやはり、BIOSにマルウエアが潜んでると推測します。
PCメーカーのサポートページにBIOSのアップデートモジュールとかないでしょうか。最新のやつじゃなくても、従来バージョンのやつがあれば上書きを試すとか。BIOSの書き込みが出来ないようなら、PCを新調するしかないだろうね。JUNK HDDの使用が原因なんじゃないかなぁ。

ルーターやモデムがやられちゃってる可能性はかなり低いと言うか、現実には無視できるレベルと考えます。と言うのは、セキュリティホールを狙うと言うのが常套手段ですが、いちいち個別機種の「穴」を調べてられないですから。

この回答へのお礼

正確なご指摘ありがとうございます。

たしかに自分なりに切り分けして作業してみた結果、BIOSならびにHDDにマルウェアが埋め込まれているのは確実ではないだろうか、という感じがしています。

BIOSに関していえば、最新のものにも、従来バージョンのものにも更新できません。

つまり、(1)メーカーに出して修理を依頼するか、(2)マザボ交換か、(3)白ROMに最新のBIOSを書き込みROM交換するか、(4)PCを新調するか、いずれかの方法しかないと思っています。

ルーターに関していえば、意見としてすごく参考になりました。ありがとうございます。

ただ私個人のケースを鑑みれば、「（リモートホストではなく）ローカルホストがcoolweb」だったことや、その間FWやアンチウィルスがどの程度機能してたか疑問があることを考えれば、侵入どころかPCを「一時期完全に乗っ取られていた」可能性も捨てきれず、となるとPCどころかルーターのBIOSをFLASHすることなど容易いはずで、不安を払拭するためには「全とっかえ」かな、とは考えています。

ただ一般論として知りたかったのです。
たとえばCIH（別名:チェルノブイリ）やその亜種のような「BIOS感染型」のマルウェアの場合、ルーターのBIOSさえもオートマチックに書き換えるかどうかを。

そして、新品のPCを購入し、古いルーターに（甘い設定で）つなげた瞬間、再感染することはありうるのだろうか？、ということを。

大変参考になりました。

お礼日時：2005/06/28 17:43

No.3 回答者： o_tooru 回答日時： 2005/06/27 21:20

こんばんは、お困りですね。

さてご質問の件ですが、不安で不安で仕方がない、と言う気持ち
伝わってきますよ。あなたの心の中ではすでに結論が付いているようですね。

まずは、モデムを交換してくれるように交渉してみましょうよ。
たぶん交換してくれるんじゃないですかね？（調子が悪いと言った方が良いですね）ただ、後で不安になると困りますから、あらかじめ今使っているモデムのシリアル番号などを控えておきましょう。そして、交換品が届いた時に、シリアルが違うものが届いたか確認しましょう。

そこで接続してテストしてみて、それでもないが無ければワイヤレスのルータを買い換えても良いですね。（当然変えなくても良いのですが）

不安な時はすべてが原因に見えてしまいます。「幽霊の正体見たり枯れ尾花」では有りませんが、少し時間をおいてから、テストしてみたらいかがですか？もしくは友達に頼んで同じ行程を再現してもらうとか。

改善されると良いですね。

この回答へのお礼

そうですね。


まずはMODEM交換の交渉をしてみることにします。

だめならだめでコースを変えるだけなので。



助言ありがとうございます。

お礼日時：2005/06/27 22:05

No.2 回答者： noname#11668 回答日時： 2005/06/27 20:27

　何のウイルスに感染してますか？未知のウイルスってことは無いですね、どんな症状でしょう？

　経緯を書いてくれないと誰もわからないですよ。

バックアップファイルが感染していれば、いくらフォーマットしたところでリカバリすれば、元の状態（ウイルスに感染した状態）に戻してしまいます。

　HDDをフォーマットしてBIOSまでクリーンにすれば、普通は再感染はしません。

何か間違った操作をしているのか、ウイルスと思っているのが他の要因な場合があります、ＯＳの認証を受けていないので、数日で動かなくなったのを勘違いしてるだけとか

まずは、状況とパソコンの種類や名称、ＯＳのバージョン、経緯も含めてお知らせください。

それらが出来ない場合は素直にメーカーに持ちこんだほうが、ここであれこれ聞いて対処するよりも安心で確実ですので

この回答への補足

すみませんでした。

どういう作業を行ったかまで書くとあまりに長文になる上に質問の内容とはずれてしまうかと思い、あえて書き込みませんでした。

PCはDESKTOPがIBM*APTIVAです。（ネットカフェからなので型番までは……）

NOTEがTOSHIBA＊DYNABOOK/60P4DAです。

OSは両方とも98SEです。

状態としては2台とも見た目は正常にBOOTしますし、NETにもつなげます。

ただLOGをみると明らかに情報漏洩しているようなのです。（そのひとつが悪名高きCOOLWEB.COMです）

OUTPOSTやKERIOなどでCOOLWEBをルール指定し、つながない設定にすると、今度はNETにつなげなくなります。

COOLWEBSHREDERや、NORTON、SPYBOT、ADAWARE、ONLINESCAN等、（無料のものは）ほとんど試しましたが、なにもひっかかりません。（かならずしも新種のウィルスだからということではなく、最近のウィルスは感染前にインストールしておかなければセキュリティーソフトが機能できなくなるものもあるようです）

最初の質問文に書いたように、BIOS更新しようとするFDから起動できません。（2台とも）

OPENDOSや、98の起動DISKや、LINUX（HALなどの）ならFD起動できます。

感染した原因はいくつか考えられるのですが、NETカフェ等で作成したFDを移行するときにウィルス検索せずに使用したことがあることや、USB接続で購入したJUNKPCのHDDをつないだこと等が考えられると思います。
あとでJUNKPCのレジストリを見ると、「P2Pでもやってたか？」と思えるような感じでした。



ただ、もうすでに所有PC自体は両方とも古いものですし、あきらめています。
（ROM焼きだいじょうぶなどのツール購入も考えましたが、メーカーに出すなら新品を買ったほうがよさそうなので）


気になってるのは、
「無線ルーターとモデムは（BIOS感染だとするなら）、感染するのだろうか？」ということだけです。


不安ならやはり「新規購入」が正解なのでしょうが。。。

やはりお金があまりないので（泣）。

補足日時：2005/06/27 21:01

No.1 回答者： ftomo100 回答日時： 2005/06/27 19:44

リカバリ時にウィルスごと書き戻しているだけのような気がしますが...

ユーザデータ以外のリカバリのみではどうでしょう？もしくは、リカバリ中に感染するような作業しているとしか思えません。

よって、周辺機器の交換は必要ありません。ルータに感染するウィルスは今のところないと思いますよ。交換は...どうでしょう？してくれるかもしれませんが、効果はないと思います。

この回答への補足

さっそくの御返信ありがとうございます。

たしかに「リカバリ中に感染するような」動きをしているような感じがします。

しかし、それはどうしても「BIOS」が悪さをしているとしか思えないのです。
（書き方が悪かったかもしれません）

リカバリーとは、（余計なデバイスをはずした後）ユーザデータのみならず、HDDを物理FORMAT後（0データ書き込み後）に、CMOSクリアし、「リカバリCD」を使い工場出荷の状態に戻そうと試みたのです。

すると再インストールはできるものの、インストール直後にregeditで確認するとちゃんと元に戻ってしまうのです。
trojまでもが。（たとえばBigfootとかです）

追記ですが、HDDをはずした状態で、NETカフェで作成したLINUXベースのウィルススキャンをCDブートで試したところ、ウィルススキャンはしてくれませんでした。（ブートはできるもののスキャンできないという意味です。NETカフェのPCは正常動作することを確認済み）

質問の内容とはずれてしまいますが、参考までにPCの状態を追記すると、雑誌についてたVINEインストール用CDのFDISKを使ってみると、HDDのセクタとトラックの数値が狂っているようです。

正確な数値は、現在NETカフェから書き込んでいるのでわかりませんが。

それとhitachiのfeature toolを使い、HDDのキャッシュ容量を調べてみると、本来あるはずのキャッシュ容量がかなり減少していました。（たしか384KBでした。正常は2MBだったかな？）

つまりこれは勝手な憶測なのですが、BIOSの空きスペースにHDDの容量を誤認識させるようなプログラムを仕込まれ、無理矢理あけられたHDDのスペースになんらかのDATAを書き込んでるのでは、と素人考えで想像したのです。

だとすれば物理FORMATも意味をなさないというのも説明がつきます。認識してない部分を書き込めないので。


すみません。
質問の内容とずれてしまいました。


やはりルータの交換はしてくれるかもしれないが、ってことでしたよね？

やはり不安なら8Mから12Mのコースに変更しなきゃならないってことですかね。

ありがとうございました。

補足日時：2005/06/27 20:58