トロイの木馬による不正アクセスについて

No.1996で質問したものです。
更にお聞きしたい点があります、どうかどうかお願いします。

またノートンインターネットセキュリティのログの接続のローカルサービスポートとリモートサービスポートの所にBackdoor-g-1がありました。
ポート番号は1243です。
ログの見方がよくわからないのですが、そこから送信されているみたいです。
調べたところ、トロイの木馬によるデータ盗難に使われるポートで、フィルタリングするようにというアドバイスがありました。

これはやはりトロイの木馬を仕掛けられているということなのでしょうか。
実際に、どうしてもある人にPCの中を読み取られている？情報を知られている？としか考えられないんです。

フィルタリングってどうやればいいのでしょうか？

PCをリストアしてWindowsUpdateしてセキュリティソフトも最新のものにしているのになぜまた見つかってしまったのでしょうか。（Updateし終わるまでの何分間かに見つかってやられる、というようなことがありますか。）
その人のHPに行ったからですか。

今後ブロードバンドルーターを付ければ見つからなくなるのでしょうか。

本当にまいっています。
どうかよろしくお願いいたします。

No.11 ベストアンサー 回答者： morinokoneko 回答日時： 2003/09/21 14:57

私なりの解釈をしてみたいと思います

　デフォルトの状態ではトロイの木馬はファイア－ウオ－ル
で遮断はご承知だとおもいます
接続がル－ルに一致したら遮断の＜ログ＞は残るのです

2の方の良い回答で以下があります
------------
(6)接続がルールに一致したら・・・
　　　「1」回以上イベントが起きた後でログのみに記録する
　　　「レ」イベントログを作成します
　　　「レ」セキュリティモニタメッセージで通知する
　　　「レ」セキュリティ警告で通知する

--------------
貴方は接続をされていなかったと思われます

＞「Backdoor/SubSeven トロイの木馬のデフォルト遮断」というルールがありチェックもされていたのに、
なぜ開いてたのかなあ・


どのような根拠があって〔開いていた〕と解釈をするのでしょう？


NO2様がいった説明をされたあと
何も今のところ　ログが残っていないからでしょうか？
またポ－トスキャンが時間を置いたらNO2様の方法でも
同じようにログが残ると思います　レ点を入れてますから。



＞
そして1243にBackdoor-g-1っていう名前が付いていたのはなぜなんだろう

これはですね　ファイア－ウオ－ルデフォルトル－ルに
一致していたから　名前が出たのです

つまり正常にNISが起動していて遮断していた証拠だと思います
感染をしていないのに感染をしていると解釈する誤った傾向があるように思います＾＾；

他の識者が全員　共通していっておられるのが
＜ブロック＞をしているの一点です。

この回答への補足

お答えくださっていてありがとうございました。
NISの機能についてもログの見方もなんにも全然わかっていなくて
ほんと申し訳ありません・・・
教えてくださって本当にありがとうございました(*^-^*)

補足日時：2003/09/21 18:40

この回答へのお礼

遅くなってすみませんでした、返信が来ました。
回答者さまが言ってくださったように
現在はトロイの木馬に感染しているということはないようです、
安心しました。
Backdoor-g-1とはNISで1243に付けられている名前で、
そのログは1243を接続に使用した記録だそうです。
それと1243を閉じるのはトラブルの原因になることがあるので
しないほうがいいとのことでした。

私が気にしていた事は、
以前やられていた時に知られていた事や
その人のHPに行ったこと（不安で何を書かれているのか確かめるために）が
関係していたと思われます。
これからはしっかりきちんとセキュリティに気をつけるようにしますです。

みなさま、ご迷惑をおかけしてすみませんでした。
貴重な時間を使っていろいろ教えてくださって
本当にありがとうございました（*＾-＾*）

お礼日時：2003/09/23 17:09

No.10 回答者： morinokoneko 回答日時： 2003/09/20 20:38

NO8での回答の訂正とお詫びです

誤った記事は以下です
------------
Q1
警告はADSLにしてから１回も出ていません
なぜでしょう・・・

A1
多分ですよ。攻撃されていないからです
--------------------

正しくは
攻撃を受けたが　自動的に遮断をしたんだとおもいます
かつて　Backdoor-g-1のことを書いてるのを読んだとき
ログに残ったいう証言がgoogleでもありました
そのとき警告のことがやはり　貴方と同じように無かったのでしょう（推測）
書かれていませんでした。

このことは多分シマンテックさんから
詳しい解説があるので　私からは答えることが
出来ないのです　ごめんなさい（答えはしってるのですが
著作権が先方様にあるからです。　体験版の方と区別する理由が背景にもあります）
設定をかえるだけでOKです



明日あたり良いお返事がシマンテックさんから
くると思います　安心してください

では　おやすみなさい

この回答へのお礼

何度もお答え下さっていて本当にありがとうございました。

ANo.#2で教えていただいた方法でポート1243他を遮断してからのログを調べると、
1243はちゃんととばされていました。
「Backdoor/SubSeven トロイの木馬のデフォルト遮断」というルールがありチェックもされていたのに、
なぜ開いてたのかなあ・・・
そして1243にBackdoor-g-1っていう名前が付いていたのはなぜなんだろう、
そのポートにもともと付いている名前ではないですよね、
トロイに関係した名前ですよね。

はい、ではシマンテックさんからの返事を待つことにします。
本当に何度もご親切にありがとうございました（＾-＾*

お礼日時：2003/09/21 04:26

No.9 回答者： noname#6461 回答日時： 2003/09/20 18:48

こんばんは、wakamexさん。

その相手というのはネットで知り合った方ですか？
それとも実社会で身近にいる方なのでしょうか？
詳しい状況までは分かりませんが、
その様な人とは関わりを絶たれた方がよろしいかと思います。

＞PCをリストアして

本当にフォーマットした上でのリカバリであれば、
綺麗な状態に戻っているはずです。
マスターブートレコード感染を危惧されている様ですが、
そのタイプのウイルスは感染フロッピーで
システムを起動した場合だけ発動するものです。
ネットワーク経由で感染する様な事はないと思います。
今はワームの様に自動拡散するものが主流でシステム感染型は絶滅寸前です。
ディスクを初期化しても消えないという点では非常に凶悪と言えますが...。
一応、駆除方法のリンクを貼っておきますが多分杞憂のレベルだと思います。
http://www.ipa.go.jp/security/y2k/virus/cdrom/ba …

＞（Updateし終わるまでの何分間かに見つかってやられる、というようなことがありますか。）

まず無いと思います。
wakamexさんの行動を四六時中監視出来るほど相手の人も暇ではないでしょう。

＞その人のHPに行ったからですか。

そのHPに行くのはもう止めた方がいいと思います。
アクセス解析をしていれば訪問者のIPアドレスを知るぐらいは出来ます。
もちろん、IPアドレスを知ったところで、
アップデートとセキュリティソフト導入をしていれば
通常問題とはなりませんが、あまり気分は良くありませんからね。
気になる様でしたらモデムの電源を暫く抜いておけば、
プロバイダから別のIPが割り当てられると思います。

＞今後ブロードバンドルーターを付ければ見つからなくなるのでしょうか。

ルータを導入すればセキュリティは確実に向上します。
最近では5000円前後の製品でも、
SPI（ステートフルパケットインスペクション）という
従来よりも高度なフィルタ機能を搭載したものが多いので、
購入時の１つの目安にされると良いかもしれません。
個人的にはコレガの製品などが手頃で良さそうに感じます。
あと、価格.comの評価も参考にして下さいね。
http://www.kakaku.com/sku/pricemenu/router.htm

それでは頑張って下さいね！！(^_^)

この回答へのお礼

こんばんは、お答え下さっていてありがとうございました。

マスターブートレコード感染は心配いらないということで安心しました。

＞IPアドレスを知ったところで、
アップデートとセキュリティソフト導入をしていれば
通常問題とはなりません

最初はアップデートもソフト導入もしていなかったんです、
それであっさりやられたのかな…
ルーターを付ければより向上するということで、
選び方も参考にさせていただきます。

ご親切に感謝します、ありがとうございました（＾-＾*

お礼日時：2003/09/21 04:57

No.8 回答者： morinokoneko 回答日時： 2003/09/20 18:45

Q1

警告はADSLにしてから１回も出ていません
なぜでしょう・・・

A1
多分ですよ。攻撃されていないからです。
私はADSLで直接モデムにつないだ体験ありませんので
よくわかりません　ごめんなさい
ISDNのときには頻繁に警告を受け遮断報告を受けました
しかしながら　無いときは全然警告も出ませんでした

（上はNISデフォルト状態　TAと接続）

NO7の補足をよんでいない現段階では　お話を聞いた限りでは　[かつてセキュリテイに甘く技術的に自信がなく　心に傷を受け　今でも攻撃をされていると錯覚をし　誤解しておられた。　つまりトロイの木馬に現在は感染をしていない]といって良いと
思います。

しかしながら私の現段階の乏しい＾＾；セキュリテイ知識ゆえ参考程度に
聞いてくださいね☆

この回答へのお礼

ここにも書いてなかったですが、ありがとうございました

＞私の現段階の乏しい＾＾；セキュリテイ知識

とんでもありませんですすごいです！！
なんにもわかっていない私にいろいろ教えてくださって
本当にありがとうございました(*^-^*

お礼日時：2003/09/21 19:33

No.7 回答者： morinokoneko 回答日時： 2003/09/20 17:45

*Q1

HPのまだアップしていないページの内容などを知られているんです

*A1

もしかしたら旧トリポッドでHP作成をしてませんか？
ここでは　トップぺ－ジをindex.htmlにしておかないと
丸見えでアップしていないと思っているファイルも
全部丸見えです

外れていたら自爆です　聞き流してください

*Q2　私が行ったサイトも分かるようです
*A2　貴方がひとつ前に見たサイトがわかるのは
可能です　トロイの木馬など利用しなくてもカウンタ-が
ついているHPならわかると思います。しかし　それを送らないようにするのも
可能です

参照元（リファラ）とシマンテックでは　いってるのですが　以下はシマンテックで参照元を送るの操作を
書いていますが　その逆の操作をすれば良いのです

http://service1.symantec.com/SUPPORT/INTER/nisja …


NO3の補足を私が拝読した限りでは　トロイの木馬に感染していない感じです

他の識者がご意見を述べられたら　そちらの方に耳を傾けてください　汗

この回答へのお礼

すみません昨日いっぺんに見たので上に書いただけでした、
ここにも書くべきでしたのに、ありがとうございました
OKWebも初心者なもので恥ずかしいです(*＞＜*

旧トリポッドというのは使っておりませんです

＞トロイの木馬に感染していない感じです

そうであることを心底願っています
無知だから不安になるんでしょうね
お答え本当にありがとうございました(*^-^*

お礼日時：2003/09/21 19:26

No.6 回答者： morinokoneko 回答日時： 2003/09/20 16:11

あまり詳しくはないのですが。

スタ－ト→プログラム→MS-DOSプロンプト→netstat
と打ってみてください
ESTABLISHとなっている項目にポ－ト番号1243
がありますか？確認してみてください

それをみたあと元に戻すため
exitと入力して終了してみて下さい


実際わけもわからないままですと疑っておられる先方様にも
大変ご迷惑にあたりますし　また貴方自身がますます
不幸な気分になると思います


ル－タを入れておられない場合警告はしょっちゅう
ポ－トスキャンをされたら出ると思います。実際
私もル－タを入れてない時期で常時接続の時
頻繁に出ていました。その都度
NPFWで制限サイトに追加をしていました。
ご承知のように正しくル－タを設定していたら警告など出ません。

あとBIOS初期化はCとDをクリ－ンにされたとき
されていたのでしょうか？

この回答へのお礼

お答えありがとうございます。

＞スタ－ト→プログラム→MS-DOSプロンプト→netstat

やってみましたがESTABLISHという項目がありませんです、何もないっていうことでしょうか。

やめてくれるように言っている、というのは自分のPC内（書いたら読まれてると思っているので）で言っているだけなので、もし違っていたら読んでいないということになりますね・・・

警告はADSLにしてから１回も出ていません、ブロードバンドルーターはまだ付けていません。
なぜでしょう・・・
NISの設定はデフォルトです。

＞BIOS初期化はCとDをクリ－ンにされたとき
されていたのでしょうか？

リストアはリストアCDを使って説明書の指示に従って入力していっただけなので、自分では何をしたのか全くわからないんです。

それじゃあ今はもうされていないのかもしれないでしょうか。
以前されていたときにすごく嫌な思いをしたので、恐れすぎているだけなのかな・・・

もしまだ何かありましたら教えていただけるとありがたいですが、なんかもう申し訳なくなってきました・・・

みなさんが貴重な時間を使って答えてくださったことに本当に感謝しています。
ありがとうございました（＾-＾*

お礼日時：2003/09/20 18:12

No.5 回答者： bship 回答日時： 2003/09/20 13:21

それは外部からやってきたパケットではないでしょうか。

あなたのPCにバックドアが仕掛けられているのではなく、仕掛けられているPCを無差別に探す行為で、たまたまあなたのPCがターゲットになったものだと思われます。
インターネットに接続していればよくあることですよ。
気にする必要ありません。

この回答への補足

お答えありがとうございます。
私もいろいろ調べたらそれについてはポートスキャンではないかと今思っているのですが、
よく見るとほとんど続きのような番号が送受信？していて、ところどころに名前付きのポートがあり、その中の１つがBackdoor-g-1(1243)です、

＞インターネットに接続していればよくあることですよ。

そうなのでしょうが、インターネットに接続している間は常にそうなっている、されているんです。
それも同じスキャンがくり返し行われているようです、同じ番号の所をまたくり返しされています。
なぜなのでしょうか？
みんなそうなのですか、それともやはりその人がしているのかな。

その人には私が自分のPCの中で書いたことや、HPのまだアップしていないページの内容などを知られているんです。
私が行ったサイトも分かるようです。
どうしてなのでしょう・・・トロイの木馬ってそういうことができるんですよね？

よろしければおしえていただけますでしょうか

補足日時：2003/09/20 14:29

No.4 回答者： morinokoneko 回答日時： 2003/09/20 13:11

追加です

NISのバ－ジョンがわかりませんがNIS2003として調べました
http://www.symantec.com/region/jp/techsupp/nis/n …



*特定の攻撃元遮断の方法が以下に載ってます


http://service1.symantec.com/SUPPORT/INTER/nisja …

長いですがURLをコピ－アンドぺ－ストして
ご覧ください

*シマンテックへお問い合わせ　

注　メ－ルが一番早く丁寧です　設定や技術で戸惑った場合
無料で教えてくださいます　FAX　お電話はつながりにくいです

http://www.symantec.com/region/jp/techsupp/nis/n …

バ－ジョンが違う場合上の方で製品変更してみてください




*ハイテク警察をご存知ですか？最寄のハイテク警察に連絡をいれて　貴方がおっしゃっているHPと攻撃元IPが一致しているのかどうかわかりませんが
警察からそのHP管理者にそれなりに　助言を出してくださるかもしれません
悪意があるのか　それとも全く感染したことを知らずにHPを作っておられるかもしれません。
（ちなみにここでは　その問題のHPをリンクしないでください
名誉毀損になりかねません。）

ハイテク窓口一覧表は以下です
http://www.npa.go.jp/hightech/soudan/hitech-soda …



*その攻撃元IPの詳細をしらべるのは
以下のURLに数字をいれてみてください

http://www.mse.co.jp/ip_domain/

*あときちんとOSがリカバリ-されていなかったのではないかなあと推測を私もしてます
OSが98SEですと完全に綺麗にするには　最終手段　FDISKというのがあります
これだとCだけでなくDも全て工場出荷状態に戻ります
FDISKの方法はPCメ－カ-のHPを閲覧してください


おつかれのところ　長い文章になりごめんなさい
お暇なとき、実行を検討されたらよいと思います

またわからないときは　お礼の項目に書いてくだされば
私なり　また　他の識者さんが読んで下さり
お手伝い出来る範囲でアドバイスをしてくださると思います

ご参考まで　

この回答へのお礼

ご親切にありがとうございます。

NISのバージョンは2003です。

攻撃を遮断する、ということは今は全くなくなったんです。
もう侵入してしまっているからかな・・・

＞これだとCだけでなくDも全て工場出荷状態に戻ります

DをリストアするCDも別にありまして、今はそれもしています、
が、マスターブートレコードのリセットというのを知らなくて、それはしていません。

シマンテックにも問い合わせていますがまだ返事は来ていません。

その人には何度もやめてくれるように言っているのですがやめてくれません。

もう家でインターネットに接続するのをやめようかとも思っています。

いろいろ教えてくださって本当にありがとうございました(^^*

お礼日時：2003/09/20 15:36

No.3 回答者： morinokoneko 回答日時： 2003/09/20 10:32

ご無沙汰してます　気になりますね

NO2様の回答をみての私の感想をのべてみたいと思います
デフォルト状態でウイルス定義を最新にしてスキャン結果0でしたよね？　検証をしてみたいと思います

まずNISを開いてみてください
オプション→NAV→[ウイルスが見つかったときの応答の仕方]に　[自動的に感染ファイルを修復する]に　チェックが
入っているか確認（デフォルトではこのように設定になっています）

またNISを開いてみてください
NAVのところをクリックして　レポ－トをクリック。
検疫項目→レポ－トを表示→ここにウイルス名が
あればメモしておいてください　→項目の提出を
して　シマンテックにおくります



このとき提出をしなくて良いとはじかれたら（すでに認識しているもので
あればはじかれますが　ファイルの名前からみて
はっきりトロイの木馬と分からない場合　チェックを変えて、[今日送る]に　設定を変えてください）
すると自動返信がシマンテックからきます


なぜ上記をいったかと申しますと　シマンテックではまだBackdoor-Gに関するものが
はっきりわかっておらず　変種が１度だけ報告となっているからです。


ファイア－ウオ－ルの設定はNO2様の良回答を
参考にしてください

しかし　現段階で特定の人に攻撃をされているという
根拠がまだありません

警告が出て同じIPからの攻撃だからでしょうか？
それならば　そのIPをNPFWで遮断を今後していけばよいです　設定方法はシマンテックさんのHPで
簡単に説明してくださってます

ノ－トンナレッジべ－スをご利用してみてください
http://www.symantec.com/region/jp/techsupp/knowl …

この回答へのお礼

何度もご親切に本当にありがとうございます。

最新にしてのウィルススキャンでは何も出ませんです。

[自動的に感染ファイルを修復する]にチェックが入っているか、＞入っていました。

検疫項目→レポ－トを表示→ここにウイルス名があれば、＞何もありませんでした。

上のところに書き込んだ内容もご覧いただけましたらと思います・・・

みなさんのご親切に感謝しています。
本当にありがとうございました(^^*

お礼日時：2003/09/20 15:51

No.2 回答者： mrumesuke 回答日時： 2003/09/20 02:42

BackDoor.Gの詳細はコチラ。

http://www.symantec.com/region/jp/sarcj/data/b/b …

＞ログの見方がよくわからないのですが、そこから送信されているみたいです。

リモートIPアドレス欄に書いてあるIPアドレスまたはホスト名が接続先の情報です。
ログの日時と共にメモしておきましょう。

＞フィルタリングってどうやればいいのでしょうか？

ノートンインターネットセキュリティ(NIS)がデフォルトで遮断してくれるはずなのですが・・・
セキュリティ関係の設定を無効にしていませんか？
NISのダイアログを開き、セキュリティ、ファイアウォール、侵入検知、Norton AntiVirusが全て「オン」になっていることを確認してください。「オフ」になっていたら「オン」にしてください。

セキュリティとファイアウォールがオンにも関わらず通信が止まない場合、設定を確認します。

1.「ファイアウォール」を選択し、ダイアログ右端の「設定」をクリックします。
2.新しいダイアログが開きます。拡張タブを選択し、「トロイの木馬ルール」をクリックします。

ルールの中に「Backdoor/SubSeven トロイの木馬のデフォルト遮断」というルールがあり、チェックが入っていることを確認してください。チェックが入っていない場合は入れてください。
「Backdoor/SubSeven トロイの木馬のデフォルト遮断」ルールがない場合はルールを追加します。
あるにも関わらず通信が止まない場合、ルールを修正します。

[追加]
　1.「ファイアウォール」を選択し、ダイアログ右端の「設定」をクリックします。
　2.新しいダイアログが開きます。拡張タブを選択し、「トロイの木馬ルール」をクリックします。
　3.「追加」を押し、ルールを作ります。
　　(1)遮断　→(2)他のコンピュータからの接続　→(3)任意のコンピュータ　→
　　(4)プロトコル：TCP　ポート：下のリストにある通信またはポート　「追加」
　　(5)新しいダイアログが開きます。
　　　(5-1)フィルタ：個別に指定するポート
　　　(5-2)場所：ローカル
　　　(5-3)１つ以上のポート番号を・・・：1243 6711 6776
　　(6)接続がルールに一致したら・・・
　　　「1」回以上イベントが起きた後でログのみに記録する
　　　「レ」イベントログを作成します
　　　「レ」セキュリティモニタメッセージで通知する
　　　「レ」セキュリティ警告で通知する
　　(7)適当な名前（例：「BackDoor.G トロイの木馬の遮断」）
　　　カテゴリ：一般

[修正]
　1.「ファイアウォール」を選択し、ダイアログ右端の「設定」をクリックします。
　2.新しいダイアログが開きます。拡張タブを選択し、「トロイの木馬ルール」をクリックします。
　3.「Backdoor/SubSeven トロイの木馬のデフォルト遮断」ルールを選択し、「修正」で修正します。
　　(1)通信タブを選択し、上記[追加]の(5)と同じ設定を追加します。
----------------------------------------------------------------------------------------


＞PCをリストア

「PCをリストア」とは具体的にどんな作業を行ったのでしょう。
HDDを初期化してリカバリしたのですか？
単にOSを上書きインストールしただけではトロイが残ったままだったのかもしれません。


＞～なぜまた見つかってしまったのでしょうか。
＞その人のHPに行ったからですか。

リカバリせず、駆除もしていないなら、最初に侵入されたものが残っているのではないでしょうか。
リカバリした、駆除をしたとなると、感染経路についてはsymantecのサイトにも情報がないため分かりません。


＞今後ブロードバンドルーターを付ければ見つからなくなるのでしょうか。

ルータが不要なポートを遮断してくれるので通信は止まるでしょう。
しかしきちんと駆除しない限りPC内に飼いつづけることになります。

この回答への補足

お答え本当にありがとうございます。
実はずっと調べつづけでもう頭がふらふらになっていて限界なので、明日に必ずお礼のところに書きます。
すみません、ほんとうにありがとうございます・・・

補足日時：2003/09/20 03:37

この回答へのお礼

お答えありがとうございます。

NISの設定は全部オンになっていてチェックも入っていました。

＞「PCをリストア」とは具体的にどんな作業を行ったのでしょう。

PCに付いていたリストアCDでやりました。
でもそれはCドライブだけのもので、DドライブをやるCDが別にあってそれを入手してからはCドライブとDドライブをリストアしています。
そのドライブのすべてのデータが消去され買った時の状態になっているそうです。
でも今PCのサポートに問い合わせると、あとマスターブートレコードのリセットというのがあるらしく、それはしていませんでした。
そこに感染しているということはあるのでしょうか？
それ以外の場所に感染しているということもあるのでしょうか。

自分でもがんばって調べているのですがどーにもわからないことだらけで、すみません・・・
もしまだ何かありましたらお手数でなければおねがいいたします、お手数でなければ・・・

お礼日時：2003/09/20 12:51