トロイの木馬とコンピュータウイルス等について

最近知り合いがトロイの木馬によるであろう被害を受けたそうです。話によると、アンチウイルスソフトで検知しなかったとのことです（いまだに困っているようです）。
現に自分のパソコンにトロイの木馬やコンピュータウイルスに知らずのうちに被害を受けているとしたら、どのようにして発見し、駆除するべきですか？パソコンの知識不足の私に教えてください。
ちなみちOSはVista（Dell製）でアンチウイルスソフトはウイルスバスターです。

No.12 ベストアンサー 回答者： rebind 回答日時： 2011/05/16 23:11

#2です。

しつこくすいません。

以下の画像は有名なパケットキャプチャソフトであるWiresharkを使ってある通信を捉えた様子なのですがおわかりになりますでしょうか？よーく見るとなんとなくわかるはずなのですが・・・・・・・


正解を申しますと、これはAvira Antivir Personal Freeをテストしたときのアップデート通信ログ(一部)です。ちょこっと解説しますと、上から3行がいわゆるTCP通信における3ウェイハンドシェイクってやつです。こういった通信のことがわかるとスキルアップにつながりますよ。もちろん、セキュリティーにも役立ちます。

この回答への補足

知人がようやく解決したそうです。ありごとうございました（いろいろ勉強になりました）。

補足日時：2011/05/17 08:50

No.11 回答者： rebind 回答日時： 2011/05/15 00:18

#2です。

以下の画像はアンチウイルスを回避させるためのプログラム改変ツールです。こういった類のツールが氾濫してるのが実情です。そこら辺にたくさん転がってますので皆さんも自分でやってみればわかります。最近ではオンライン改変サービスまであります。おそらくこういった現状を皆さんご存知ないかと思います。

No.10 回答者： rebind 回答日時： 2011/05/15 00:06

#2です。

以下の画像はHIPS型セキュリティーソフトであるMalware Defenderをインストール後のSSDTがどう変化したかを表しています。つまり、これを見るとこのMDがどういったことを監視しているのかがわかります。

実はこういったセキュリティーツールもシステム改変を監視するためにこういったことをしますが、カーネルモードで動作するマルウェア(Rootkit)でも自身の隠匿や関連オブジェクトの隠匿のために行うことがあります。SSDT Hookingと言います。あくまで一手法ですけど。

こいったことまで解説できるのがセキュリティー通というものです。

No.9 回答者： rebind 回答日時： 2011/05/14 23:33

#2です。

こちらもよかったらどうぞ。これは非常に高度なもので、おそらくこういったことできるの少なくともここのサイトにはボク以外居ないと思います。

No.8 回答者： rebind 回答日時： 2011/05/14 23:31

#2です

「HIPSによるマルウェアのアクティビティーチェック2」

これちょっと面白いです。偽装ファイル

No.7 回答者： tec21865 回答日時： 2011/05/13 02:02

＞友人（ノートン使用）は危険なサイトで動画を見ようとして、

＞パソコン起動時にお金の請求をされるそうです。
＞それ以後、怖くてパソコンに触れていないようです。
＞まだ解決策が見いだせていなので、
＞私が解決策を理解できたら教えようと思います。



この手の処理に詳しい方の方法によりますと…私は盗用or転載

これで解決されるようです。
http://sasi40dx.cs.land.to/

後は、こちらも
http://menushowdelay.blog13.fc2.com/?q=%A5%EF%A5 …

この回答へのお礼

無事知人も解決したそうです。加えて、私の日頃のウイルス対策の勉強にもなりました。

お礼日時：2011/05/17 08:56

No.6 回答者： rebind 回答日時： 2011/05/12 22:07

>現段階として、アンチウイルスソフト未対応なウイルスやトロイの木馬に対して発見し駆除する方法、特に未知のトロイの木馬が悪さをしていることを知り、対応する方法はありませんか？

HIPS(Host-Based Intrution Prevention System)を備えるソフトを使えば対応できる可能性は十分あります。ただし、HIPSソフトを使いこなすにはかなり知識が必要です。ここのウイルスカテでの回答者でもバッチリ使いこなせる人はそうそういないと思います。

参考までに動画を紹介します。こんなのがサクっと理解できるようじゃないとHIPSは無理。

No.5 回答者： aero1 回答日時： 2011/05/12 16:12

＞話によると、アンチウイルスソフトで検知しなかったとのことです

ウィルスが登場する前から、対処法が出来ていればいいのですがデータファイルがリリースされるのは、ウィルス発見後になりますのでどのソフトを使っても完璧な防御はないと思います。

トロイの木馬は、総称ですから具体的にウィルス名がわかればいいのですが、OSの脆弱性やインストールされているソフトの脆弱性を突いて感染するタイプがありますので、セキュリティ対策ソフトのインストールだけではなくOSやソフト等のアップデートも重要だと思います。

「感染防止のための知識」
https://www.ccc.go.jp/knowledge/index.html


＞知らずのうちに被害を受けているとしたら、どのようにして発見し、駆除するべきですか？

「VirusTotal」
http://www.virustotal.com/index.html
フリーウェア等は気を付けた方がいいですし、上記の様なサイト使って開く前にスキャンしてみると良いかもしれません。
セキュリティ対策ソフトに頼り過ぎず、何が危険でどの様な経路で感染するかを知る事で、対策が見えてくると思います。


＞アンチウイルスソフトはウイルスバスターです

有償のソフトをお使いでしたら、何かあればテクニカルサポートを利用して対策を聞いたり、フィードバックや検体提出等を行う事もユーザーなら良いと思います。

No.4 回答者： tec21865 回答日時： 2011/05/12 01:39

＃1です。

ご友人がノートンをご使用であれば先にお知らせ頂ければ、無駄な解答をせずにすんでいたのですが…

しかしながら、あまりにも神経質すぎます。

2月度のデータしかまだ公開していないようですが、第三者機関でのテストの結果をご覧ください。
http://antivirus-news.net/2009/03/avtest2g-data. …

ノートンで97.51％の検出率です。
Kasperskyは96.31％ …誤解がないように申し上げますが、私もKasperskyユーザーです。

ウィルスバスターは75.24％に甘んじておりますが…

他の方が、Kasperskyを押すわけは、ユーザーインターフェースが洗練されており、細かな設定が可能であるからだろうと思われます。
確かに使用感は良いのでが、フルスキャン中に止まり、エラーログを作成することもしばしばあります。
また、アクティベートの権利が1年以上あるのに、期限切れを警告されることもよくあることとして報告しています。

動作が重くなっても良い！あくまでも検出率優先で完璧を と言うのであれば、 G DATAになります。
私も現在G DATAのライセンスを有しておりますが、その動作は、あまりにも厳しく、使用しているアプリがそのメーカーのサーバーと通信を行うのにも反応し、許可を求めてきます。

確かに未知のウィルスに対してどの程度の防御があるかを心配されることは理解しますが、神経質すぎるのもどうかと思われます。…快晴に日に雨が降るかもしれないので傘を持って外出する⇒危機管理には正解ですけど

常に更新ファイルを当てて、かつ、Windows Updateを行い、備える。で心配はいらないと思いますが、ね。

まさかとは思いますが、ご友人はノートンのライセンス切れやアップデートを怠ったとか、あえて危険なサイトに迷い込んだと言うことは無いのですよね。

最後に
＞現に自分のパソコンにトロイの木馬やコンピュータウイルスに知らずのうちに被害を受けているとしたら、どのようにして発見し、駆除するべきですか？
ご友人の時とは時間の経過がありますのですでに対策済みかもしれませんのでオンラインスキャンをかけてみてはいかがですか？

この回答への補足

回答ありがとうございます。
＞ご友人がノートンをご使用であれば先にお知らせ頂ければ、無駄な解答をせずにすんでいたのですが…
自分（ウイルスバスター使用）がノートンでセカンドオピニオンとして利用しました。結果は大丈夫でした。
＞まさかとは思いますが、ご友人はノートンのライセンス切れやアップデートを怠ったとか、あえて危険なサイトに迷い込んだと言うことは無いのですよね。
友人（ノートン使用）は危険なサイトで動画を見ようとして、パソコン起動時にお金の請求をされるそうです。それ以後、怖くてパソコンに触れていないようです。まだ解決策が見いだせていなので、私が解決策を理解できたら教えようと思います。

補足日時：2011/05/12 18:23

No.3 回答者： rebind 回答日時： 2011/05/11 23:48

#2です。

ボクはここのサイトにおいて隠匿機能を有するウイルスの実動作例や、実際にクラッカーが用いるアンチウイルス回避処理を施した検体を使ってのテストを動画で紹介したりしています。

ボクのこれまでのいろいろなテスト経験では現状、Kaspersky Internet Securityがベストであると判断しています。このカスペルスキーでは高度な防御機能を多層的に装備しており、いわゆるゼロデイにも耐え得る大変優秀なソフトです。ボクの中では唯一の特Aクラス製品。

この回答への補足

回答ありがとうございます。
アンチウイルスソフトを次にそれに変えるとして（後１年契約が残っている）、現段階として、アンチウイルスソフト未対応なウイルスやトロイの木馬に対して発見し駆除する方法、特に未知のトロイの木馬が悪さをしていることを知り、対応する方法はありませんか？

補足日時：2011/05/12 00:37