ＰＣを遠隔操作ウィルスから防ぐ方法

ニュースで　特殊なウィルスでＰＣを乗っ取られ遠隔操作をされ爆破予告などのため逮捕、誤認で釈放というのがありました。ウィルスの内容や対策があまり公表されていません。

対策があるのなら　それを報道いていただきたいところですが　見つけていません。
一般の対策で防げるようなウィルスなら逮捕されてい方にも少しは非があるのかもしれませんが。
ただ　国の機関のＰＣも乗っ取られたり書き換えられたりしていますが　ウィルス対策だけでは防げないのものでしょうか。

この種のＰＣ乗っ取りは　通常のウィルス対策ソフトでは防げなかったのでしょうか。
あるいはＷｉｎｄｏｗｓ等のアップデートを自動でするように設定していれば防げるでしょうか。
またＰＣの設定でリモートさせさせないようにできる方法はあるでしょうか。

No.15 回答者： nekobox 回答日時： 2012/10/12 23:20

nekoboxです。

この度私は既知RATの改変と予想しましたが、まったくの新種ということで外れましてすいませんでした。m(_ _)m


で、みなさんはすでにいろいいろな情報を見ていると思いますが、

要は

P2P Proxy+日本のある掲示板→ターゲットPCのコントロールという理解はみなさんよろしいでしょうか？

で、私は海外の複数のサーバーを経由してコントロールされてるときいて「あっ、あれかな？」と思っていたら案の定そうでした。もちろん、みなさんこのP2P Proxyときいて「なんだあれかぁ～」とすぐ気ぢかれましたよね？　「えっ、何のこと？」なんて言ってる回答者居たとした回答者はあきらめてここを去ったほうがいいです。

で、このシステムでは当然Exit Nodeまでは辿れますが、それ以前はまず無理です。従いまして、元の犯人までは特定できないと思います。

あと、

http://gigazine.net/news/20121011-iesys-exe/

の上部のほうで「いつ自分が被害者になるかが分からない、というわけです」とありますよね。

私はここのサイトにおいてかなり前から「犯罪の濡れ衣を着せられることも有りえますよ」と書いてます。奇しくも今回それが証明されてしまったわけです。

で、私の調べたところでは、このバックドアの作者は7月には少なくとも最初のバージョンは一応の完成はさせていたようですね。ひょっとしたら夏休みを利用して開発された可能性もあるのかなと。つまりは学生さんの可能性もあるかも。で、そのサイトにも書かれていますが、今後機能強化された新Verとか出てくる可能性あります。もちろん、そうしたらまたアンチウイルスに引っかからない可能性もあります。ただ、ヒューリスティックで検出されることもあるかもしれないですが。

どっちにしても、リモートアドミンなんて別に珍しくもないので対策としてはいつも書いてる通りです。


[重要基本対策]


http://www.forest.impress.co.jp/lib/inet/securit …

http://support.microsoft.com/kb/2458544/ja

Microsoft Update

ブロードバンドルータの使用

有力総合対策ソフトの使用(include HIPS or Behavior Blocker)

クリーン状態のシステムバックアップを定期的に取る

JRE(Java Runtime Environmen)をインストールしてたら即刻アンインストール


※
今は脆弱性を放置しておくと、普通にWeb見るだけで感染する可能性あります。

http://itpro.nikkeibp.co.jp/article/COLUMN/20120 …

No.14 回答者： nekobox 回答日時： 2012/10/10 22:42

http://www.hoshusokuhou.com/archives/18777839.html

あの、私だいたい読めましたね。

真犯人がその無料ソフトDLサイトに元からあるフリーソフトにウイルスを結合+ファイル情報などの偽装+アンチデバッギング

こんな感じ

クラッカーコミュ行けば結合ツールとかファイル情報偽装、難読化ツールなんてたくさん転がってますからね。

まあ、要はやつらが疑いをほとんど持たずにDLして実行したってよくあるパターンでしょ。

俺なんかそもそも仮想環境上じゃないと実行しませんね。


ま、時間の経過とともにいろいろわかってくるでしょう。

No.13 回答者： nekobox 回答日時： 2012/10/10 00:17

あの、今回の件ではどっちにしても海外の複数のサーバーを経由して行ってる可能性高いので

真犯人を割り出すのは非常に困難です。

私の勘ではたぶんたどり着けないと思う。


参考まで

No.12 回答者： nekobox 回答日時： 2012/10/09 23:41

http://mainichi.jp/select/news/20121009k0000e040 …

この記事を読む限りではボットの可能性もありそう。

リモートアドミンもしくはボット

No.11 回答者： nekobox 回答日時： 2012/10/08 23:12

nekoboxです。

ANo.9でWebCamキャプチャお見せしましたが、大元のコントロールメニュー下部画像でお見せします。


で、私は先に以下のようなことをすでに申してました。

http://oshiete.goo.ne.jp/qa/7701252.html

「犯罪の濡れ衣を着せられる可能性あります」とね。

実際にあり得ましたよねｗ。

No.10 回答者： violet430 回答日時： 2012/10/08 16:58

> ニュースでは今回のウィルスは市販のセキュリティーソフトでは検知できないと言わ

> れていました。
> 対策はないものなんでしょうか。

だから特効薬はないと既に回答したはずです。
未知のウイルスに対して完璧に対応できるソフトなんて有りませんよ。
ユーザとしては、ウイルス対策ソフトの導入・更新を徹底すると共に、不用意に未知のソフトをダウンロードしない慎重さが必要です。

No.9 回答者： nekobox 回答日時： 2012/10/08 16:36

参考までに、リモートアドミン系マルウェアによるWebCamコントロール見せてあげます。

要は盗撮です。

感染させたマシンがWebCam使ってたらの話になりますが、

ちなみに、このテストは当方のローカル環境で行っています。

このリモートアドミンは非常に有名なやつです。

今も開発が継続してますが、もしかしたら現行Ver.がFinalかもしれないです

No.8 回答者： nekobox 回答日時： 2012/10/08 15:32

こんにちは。

私はこの種のマルウェアにかなり詳しい者です。実物も何度もここで紹介していますｗ。

TVのニュースを見ましたが、新種とされていましたが私はそうは見ていません。

機知のリモートアドミン+アンチデバッギングと見ています。


>ウィルス対策だけでは防げないのものでしょうか。

はい、防げないことも多いです。

なぜなら、対策ソフト対策してくるからｗ。

ちなみに、MS12-063を悪用した攻撃で送り込まれてきたのもリモートアドミン系のやつです。

あっ、みなさん知らないでしょうから教えますが、最近のこの種のマルウェアって、リバースコネクション+バイパスファイアウォール仕様が普通になってますｗ。


で、


[重要基本対策]


http://www.forest.impress.co.jp/lib/inet/securit …

http://support.microsoft.com/kb/2458544/ja

Microsoft Update

ブロードバンドルータの使用

有力総合対策ソフトの使用

クリーン状態のシステムバックアップを定期的に取る

JRE(Java Runtime Environmen)をインストールしてたら即刻アンインストール


※
今は脆弱性を放置しておくと、普通にWeb見るだけで感染する可能性あります。

http://itpro.nikkeibp.co.jp/article/COLUMN/20120 …

この回答へのお礼

詳しくお教えいただきましてありがとうございます。
ｊａｖａとＡｄｏｖｅが　危ないとありましたので早速アップデートをしました。

お礼日時：2012/10/08 16:32

No.7 回答者： SPROCKETER 回答日時： 2012/10/08 11:23

　スマートフォンからパソコンを遠隔操作出来るフリーソフトが公開されています。

（以下リンク参照）

　このフリーソフトそのものは問題無いようですが、ソフトをリバースエンジニアリングして、同じ方法を使ったウイルスを作って感染させたか。遠隔操作出来るソフトに感染するウイルスを作ったかのどちらかでしょう。

　おそらく、アプリケーションソフトにウイルスを仕込んで感染させる方法でしょうが、一般的なウイルス対策ソフトでは発見が難しいウイルスのようです。

　行政機関がサイバーアタックで侵入されているのは全く別の方法ですから、今度の事件とは無関係だと思います。

　従来のウイルス対策を変える必要は無いと思います。ウイルス対策はメーカー側の対応を待つしかありません。

参考URL：http://freesoft-100.com/pasokon/remote_control.h …

この回答へのお礼

ありがとうございます。
リモート操作ができることは聞いていましたが　スマホからでもできるんですね。
リモートができないようにＰＣの設定をしていますが　それでも通り抜けてしまうんでしょうね。

お礼日時：2012/10/08 13:19

No.6 ベストアンサー 回答者： parts 回答日時： 2012/10/08 11:15

Ｑ／対策があるのなら　それを報道いていただきたいところですが　見つけていません。

Ａ／対策ですか・・・。無いと言えばないですね。このままだと、今後は、如何に感染しても大丈夫な環境を構築するかになります。

一言で言えば、それが、OS環境に侵入すればウィルス対策ソフトではヒットしません。
過去にもここで回答していますが、botsとトロイの組み合わせで、悪意のあるソフトを侵入させると、バックドアというものが開き、そこから情報を流出させたり、情報を収集したり、またはバックグラウンドで操作を行うことができます。

単純に操作と言いますが、今回の場合、踏み台攻撃と書かれており、裏の動きが書かれていませんので、およそで言えば、串として使われたと思われます。
即ち、別の場所の通信をそのパソコンに迂回し、そこから最終目的の場所に書き込めば、最後に通信した歴は、最後に迂回されたコンピュータとなります。これが、プロクシ（串）を用いた、踏み台です。

こういう感染は、どんなPCでもあり得ることで、WindowsでもMacでも、Linuxでも発生する可能性があります。また、感染を防ぐ方法は、実を言えば仕掛けられた最新の地雷（不正なスクリプトが仕掛けられた場所、主に広告のあるサイトでそれらの監視が緩いサイト）を踏めばありません。ウィルス対策ソフトも透過します。

さらに、最も怖いのは、ウィルス定義が更新されたら普通のウィルスなら、発見できますが、この手の不正ウェアは、botsとトロイやワームが組み合わさっており、それらを外から削除したり、定期的に入れ替えることが出来るとされています。
即ち、司令塔のプログラムが、更新を検出したら、ウィルスそのものをバージョンアップし、隠蔽します。その後、危ない削除だと指令されれば、消えます。

これはイタチごっこだと言う人もいますが、実はセキュリティ対策ソフトでは既に、追いつけないほどの早さで進化が進んでいるとされており、検出できるのは全体から見ると、10%を下回る可能性もあると言われます。即ち、手だてがないのです。
強いて言えば、どのポートが現在オープンになり、情報のやりとりをどのプロセスが行っているか目視で、定点監視すること。それとは別に、ルータなどで通信ログをチェックすることなどを組み合わせることで、ある程度は守ることが出来るかもしれません。


Ｑ／Ｗｉｎｄｏｗｓ等のアップデートを自動でするように設定していれば防げるでしょうか。

Ａ／各種アップデートを定期的に当てるのは当たり前であり、それをしたしないは、必ずしも関係があるとは言えないです。ただ、適用していなければ感染するリスクが極めて高くなります。
これは、Windowsのアップデートに限らず、Flash、JAVA、Shockwave、Adobe AIR、その他ブラウザプラグインやオフィスツールなどにおいて、パソコンにソフトをインストールしていて該当するアップデートがある場合、速やかな更新が必要です。

ただ、それで解消されるとは限りません。例えば、JAVAなら既に最新版でもゼロデイ攻撃が起きている可能性が指摘されていますからね。


Ｑ／またＰＣの設定でリモートさせさせないようにできる方法はあるでしょうか。

Ａ／100%安全はインターネットに接続しないことかな？

リスクを減らしたいなら、制限ユーザーでログインすること。
そして、管理者に20文字以上のパスワードを設定することかな？ＵＡＣの権限を高いモードで使うこと。
こうすると、ＯＳに脆弱性があったり、アプリケーションの脆弱性を攻撃されない限りは、特権を奪われることがなくなるため、一部の不正スクリプトは実行できなくなります。

最悪は、多少防げるかもしれません。ここまではお金を掛けない方法です。

お金を掛けても良いなら、
後は、sandbox（俗に砂場と呼ばれる）機能のあるKaspersky Internet Security（KIS）、Avastの有料版などを用い、それが持つセーフデスクトップ環境(KISの機能の名称）でブラウザを使うか、セーフブラウザを使うと、その中で実行した処理は、セーフ環境を終了した段階で、閉じられますから、その砂場に脆弱性がない限りは、原則として被害を受けることはありません。
ただし、古いPCでこれを使うと、起動までまたは動作中の動きが重くなります。
また、全ての安全を保証するものではありません。まあ、一番リスク低下効果のある出来る対策は、こういうSandboxのあるソフトでブラウザを使う等になるかと思います。

尚、この方法ではその環境で、ブラウザに記録した内容（例えばパスワードなど）は保持されない場合がありますので、ご注意下さい。（砂場は中で行っている作業をクライアント環境<自分のPC>には残さないのが売りです。ただし、インターネットに書き込んだ情報などは、インターネットサーバなどに保存されます）

この回答へのお礼

詳しいご解説ありがとうございます。
いずれの対策もハードルが高く　やり方がわからず結局は無対策の状態になってしまいそうです。
ただ　気になるのは無線ルーターが　誰も使っていなくても動いていることがあります。
＞ルータなどで通信ログをチェックする　そんなことができるのですね。やり方を探して確認してみます。

お礼日時：2012/10/08 12:55