ソースネクストでポート1025並びに1026がOpen状態

Question

シマンテックのセキュリティチェックで
トロイの木馬チェックで
ポート1025 Unused Windows Services Block
ポート1026 Unused Windows Services Block
がOpenになっていました。

ソースネクストに問い合わせたところ
ユーザー設定で
リモートポート1025から1026の間でパケットをブロックするように
と連絡を受けましたが実行してもOpenのままです。

何回も問い合わせをしているのにも関わらず未だに解決できないので
皆様に伺ってみることにしました。

他の投稿ではwindowsが普通に使うポートだから大丈夫との
答えもありましたが、ならばなぜシマンテックでは
危険とみなしているのだろうかとも思っています。
開いていても大丈夫という方はそのことに対する説明をお願いいたします。

ryu-fiz · Accepted Answer

問題のある状態だと思います。原因としてはいろいろあると思いますが

１）何らかの悪質なソフトウェア＝マルウェアに感染している場合。

ポート1025番や1026番を悪用する感染は少なくないと見られます。ちょっと探しただけで次の各ページが見つかりました。
http://www.casupport.jp/virusinfo/2004/win32_lixy_b.htm
http://www.casupport.jp/virusinfo/2005/win32_dasher_c.htm
http://www.mcafee.com/japan/security/virB.asp?v=BackDoor-AMA
http://old.netsecurity.ne.jp/article/2/9753.html
http://www.casupport.jp/virusinfo/2004/win32_lixy_b.htm

ウイルスセキュリティの検出力はそれ程高くないようで、他の対策ソフトのオンラインスキャンで検出があった例は非常に多いです。また、最近ではノートンなどシェアの高い対策ソフトから検出されにくいように設計されたマルウェアも増えているようなので、例えノートンのオンラインスキャンで何も出なくても安心は出来ないと思われます。

検出力に定評のあるカスペルスキーのオンラインスキャンで、感染がないかどうかチェックされるとよろしいかも知れません。
http://www.kaspersky.co.jp/scanforvirus/

２）ウイルスセキュリティのファイアウォールに不備がある場合。

私自身、無償で利用可能なパーソナルファイアウォールを自分の環境下でいろいろ試した経験があるのですが…ユーザーの間でそれ程評価が悪くないものであっても、自分で試したときは1025番前後のポートがOpenと判定されるケースというのが結構ありました。

おそらく、ご利用になっているPCのネットワークアダプタとウイルスセキュリティのファイアウォールの相性が良くないため、このようになるのだと思われます。経験上から申し上げると、この項に当てはまる場合にはパソコンの外部から内部への通信が一切制御されていない可能性も高く、非常に問題だと思われます。

もし１）の検査で感染の兆候が全く見られない場合には、一旦ウイルスセキュリティをアンインストールし、他のウイルス対策ソフトの体験版を試しに入れてみるなどして、状況が改善されるかどうか確認した方が良さそうです。

適当な代替の対策ソフトがすぐには用意出来ない場合には、無償で利用可能なパーソナルファイアウォールのうち、初心者でも設定や利用が比較的簡単なSygate Personal Firewallを仮にインストールし、セキュリティチェックを受けてみると判断の材料になるかも知れません。

入手は次のページから。5.5.2710が多くの環境で最も安定して動作します。（ただしWindowsセキュリティセンターには認識されませんので、その辺はご留意ください）
http://www.oldversion.com/program.php?n=sygate

初心者でも比較的分かりやすい解説ページはこちら。
http://sonobelab.com/knowhow/computer/closeport.html

とりあえず、ユーザー登録はでたらめ書いて"Register now"でOKです。
（ユーザー登録のページは表示出来ませんが、実用上問題はありません）
あとは、NT Kernel and Systemに関するポップアップが出たら"No"を選択してブロックすること。それ以外は、ブラウザなど通信に利用するプログラムの通信を許可してやることで、基本的には使えるようになる筈です。

Sygateのインストールが済んだら、その足でシマンテックセキュリティチェックを再度利用すると良いでしょう。通常、全ポートがきちんと閉じた状態と判断される筈です。Sygateで問題が出なかった場合、ウイルスセキュリティのファイアウォールに問題があると判断すべきでしょう。

もしも、Sygateでも同様なポートが開いていると判断されたら…その場合は何らかの感染が疑われます。パソコンをリカバリすることをお勧めします。

driverII · Answer

昔、ポートスキャンの対象になったポートですね。

ソースネクストの何というソフトでしょう。
ウイルスセキュリティZEROでしょうか、
ウイルスセキュリティ2006でしょうか。
(2006の場合)
https://www.sourcenext.com/faq/action/faqdetails?kind=technical&no=VS-00599&sugtype=6&logid=26223054

参考URL：http://www.cyberpolice.go.jp/important/2005/20051209_184920.html

ryu-fiz · Answer

一応補足。Sygate Personal Firewallをお試しになる場合も、ウイルスセキュリティは一旦アンインストールすることをお勧めします。ウイルスセキュリティのファイアウォールを無効にするだけで、Sygateとの干渉が100%起こらなくなるという確約は出来ません。

一般にウイルスなどに感染する引き金となるものにはいろいろありますが、きちんとしたファイアウォールが装備されていれば、ネットワークに繋いでいるだけで感染してしまう類のものへの心配はいらなくなります。ウイルス対策ソフトなしの状態であっても、怪しいサイトに行ったり、メールなどに添付された怪しいファイルを開いたりといった行為が行われない限りは安全です。

また、誤解のないようにあらかじめ申し上げておきますが…どのパソコン上でもウイルスセキュリティ利用時に1025、1026番ポートがオープンになる訳ではないだろうと私は思います。あくまでも、一部のネットワークアダプタとの組み合わせでそのような問題が出るということではないかと思われます。

FMVNB50GJ · Answer

オープンポートを閉じるよりは、すっきりリカバリして別のソフトを入れてはどうでしょうか。

何かポートを空けるものが入っているように思えますが。

windows XP SP2だと思いますが、windowsファイアーウォールでも空けないですよ。

オープンポートがあれば、技術のある人ならあなたのパソコンに接続し、いろいろなことができますよ。

Closeの間違い？
Closeなら、そうなるファイアーウォールもありましたから。

感染パソコンは、135、1025をよく空けています。
ユーザーにばれないように、パソコンに負荷をかけないように、ほかのパソコンに接続するパケットを出しています。
不正プログラムも検出されないような工夫もされているはずです。

FMVNB50GJ · Answer

windows2000がそのポートを空けるということでしょうか。
２０００知りませんのでなんともいえないですが、空いているならば接続ぐらいなら自分にもできます。

２０００はSP4でしょうか。

統合セキュリティソフトでのスキャンは、シマンテックのオンラインスキャンで済ませたということでしょうか。ソースのやつは使わないで。

何がポートをあけたのか知りません。心当たりは何もない？
P2Pソフトをやっているなら削除を勧めます。

(重み)ですが、この前の話のパソコンは、普段はばれないようにですが、時たま、指令を受けて操り人形になるらしいので、それかもしれませんね。

なんでもなければいいですが、空いているのにのんきですね。

１０２５だけ開けていたパソコンあったと記憶しています。ずいぶん奇妙だなと思いましたが。

特に何も症状がないので当方の思い込みかもしれませんけどね。

FMVNB50GJ · Answer

ウイルスのチェックしないということでしょうか。

IPsecというものがあります。たしかwindows2000でも使えたような気がします。
http://support.microsoft.com/kb/813878/ja
２０００のところがあります。

シマンテックのセキュリティチェックは、ウイルススキャンができます。

パソコンが一台のネット環境でしたら、リカバリして、別のセキュリティソフトを入れたほうがいいと思います。

IPsecのものは、当方でも設定しています。よくやってくるものをブロックしています。
今のところノートンとのいざこざはないです。

ソースのものを削除し、別のセキュリティソフトの試用版などをいれる方法もあります。それでセキュリティチェック。

windows2000SP4
ソースネクスト
SpyBot
1025　open
1026  open
スパイウェアのチェックあり
ウイルスチェックなし

FMVNB50GJ · Answer

http://bbs.higaitaisaku.com/cbbs.cgi
パソコンが複数なのでそこで質問してはどうです。

1025番ポートだけ空いているパソコンが運よく見つかりました。

このパソコン、１０２５番ポートのほかに、137番ポートから情報を取れました。

IP58.89.***.**
Hostname: host****.tvm.ne.jp
Name: YOUR-KMIAJD****
00:0c:6e:f7:**:**(これはおそらく物理アドレスでしょう)

不思議なことに２回目のスキャンでは、５０００番だけがオープンになりました。
しかもいろいろなポートがCloseになっていました。

そのパソコン当方のパソコンの139、445、1433にアクセスしてきたものです。
きわめて重要なセキュリティホールはありませんでした。

「パソコンは2台ありますが殆ど使用されてるので
できるだけ使用しない方法でお願いします。」

http://bbs.higaitaisaku.com/cbbs.cgi
のほうがいいと思います。

なおシマンテックのセキュリティチェックは、UDPについてはスキャンしません。ICMPとTCPだけです。

ソースネクストでポート1025並びに1026がOpen状態

昔、ポートスキャンの対象になったポートですね。

この回答への補足

問題のある状態だと思います。

一応補足。

オープンポートを閉じるよりは、すっきりリカバリして別のソフトを入れてはどうでしょうか。

この回答への補足

windows2000がそのポートを空けるということでしょうか。

この回答への補足

ウイルスのチェックしないということでしょうか。

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング