ニムダに感染！？

　つい３日ほど前、インターネットに接続しました。Win2000,ADSL(USB接続のモデムをLANケーブルで接続したYahoo!BB)で、モデムをパソコンに接続する前にNorton Internet Securityをインストールしました。
　ですが不都合が起きたため2000のSP2をダウンロードしました。

　が！！たった今、再起動したところAntiVirusから「ウィルス警告」という赤いダイアログが示され、コンピュータ上でウィルスを検出しました、オブジェクト名：～、ウィルス名：W32.Nimda.A@mm、対処法：～と出ました！！／（°▽°∥）／
　いや、顔文字なんかでふざけている場合じゃなかった・・・。
　最初は「ウィルス駆除されました」だったのですが・・。同じダイアログが何度も表示され、Antivirusの対処法は「ファイルを修復しました」「ファイルを修復できません」「ファイルへのアクセス拒否されました」を繰り返しながら表示されるオブジェクト名が少しずつ変わっていっています。まさになんか、徐々に食われていっている感じなのですが！！何が起きたのでしょうか？！
　誰か教えてください！これから教えて!goo内だけでも検索するつもりです。

No.4 ベストアンサー 回答者： gordon21 回答日時： 2001/11/07 16:03

もう解決しているかもしれませんが。

。。

ネットに繋いでそんなにわずかで感染してしまうとはかなり運が悪いですね。
でもNorton Internet Securityなどを早々に導入しようという姿勢には感服します。
(私などはお金がないのでフリーのfirewallソフトです)

さて、本題ですが、ウィルス定義ファイルは最新にしているのですよね？
10月末からnimdaの亜種が出ていて、ウィルスチェックを避ける動きをするそうです。
未知のウィルス検知の際、アクセス拒否されたり、修復できなかったりする
のは亜種の可能性もあります。
どちらにしても定義ファイルを最新にすれば問題なさそうです。
また感染経路ですが、Nimdaはいろいろあります。
ご使用の端末はWin2000serverではないですよね？
IIS(WEBserver)なども立ち上げていないですよね？
LANで複数台繋げている環境じゃないですよね？
単なる個人用途のクライアントと仮定すると、以下の感染経路があります。
（自分への感染）
　1 汚染メール（添付ファイル）のIEダイレクトアクションによる感染
　2 汚染サイトのIE閲覧時のダイレクトアクションによる感染
　3 汚染メール（添付ファイル）の任意クリックによる感染
　4 汚染サイトでの任意スクリプト承認での感染
　5 汚染された共有ファイル等の任意クリック(実行)による感染

＃ダイレクトアクションとは、メールを選択しただけで自動実行したり、サイト
を閲覧しただけで　不正コードを自動してしまうもの（IEのバグ）

（感染後の動き）
a 自端末での増殖
b ネットワーク上の共有ファイルの汚染
c ネットワーク上のWEBサーバ(IIS)への攻撃(汚染)
d 汚染ファイルを添付したメールの自動配信(Outlook)

などのようです。

クライアントマシンの対策としては、上記ダイレクトアクションによる
感染を防ぐために、IE5のSP2をあてる必要があります。
但し、あくまでもダイレクトアクションによる感染を防ぐものであって、
自分で汚染ファイルをクリック等した場合はもちろん感染します。

その３日間で受け取ったメール（知り合いのものでも）、ネットサーフィンした
サイト、共有しているフォルダ内のファイル、が怪しいですね。

以下の事に気をつけるといいですよ。

・メールの添付ファイルは不用意にクリックしない
・フォルダ共有をしない。
・エクスプローラの設定でファイルの識別子は全て表示にする。
　末尾の隠し識別子も表示できるようにする。
　例えばnotepad.exe.vbsなどが表示されるように。
・Outlookは使用しない(または最新にする)
・IEは使用しない（またはIE5 SP2にする）

私もinternet sucurityの購入を考えていますが、どんなもんなんでしょう。
TrendMicro社とどっちがいいんだろう。。。

この回答へのお礼

　詳しい回答をありがとうございます。ニムダについては最近発見されて猛威を振るった、Web閲覧でも感染の恐れのあるウィルス、ぐらいしか知りませんでした。自宅が開通するまではまんが喫茶からの閲覧だったのですが、そこは詳しい方がいらっしゃっるようでウィルス騒ぎはあまり・・・。
　推測されている通り、一台でLAN接続のWin2000Proの個人ユーザーです。
　メールですが、自宅ではgooのフリーメールアドレスでのやりとりしかありません。偶然ですがニムダ感染直前にまんが喫茶でメールは全て見ていたため、自宅で受け取ったメールは２通、ダイレクトメールと掲示板レンタル元からの定期通信のみです。添付ファイルはさわっていません。
　それに、フォルダ共有もされてはいないはず・・・ですが、必要ないと思っていたため2000ユーザーにも関わらずあんまり知識が・・・（汗）。
　IEでないと入れないサイトもあるため、IE5.5にし、Windows2000のSP2もダウンロードいたしました。なびのほうも6.1にしてみました。念のため。
　IE5.5のSP2というのもあるのですか？それのダウンロードは失敗したようです。もう一回挑戦です。
　InternetSequrity2002を選んだのは偶然だったのですが。私も金欠です。でも、なけなしのお金、２年かけてせっせと貯めたお金で買った高価な（でもないが。）PCがクラッシュする、その保険と思えば安いものだと思いまして。
　ファイアウォールの設定なんて何もわかりませんでしたから、Nortonに頼るしかなかったんです。

　新型ニムダDのことは感染したその直後、新聞で読みました（笑）。マイクロソフトからSP2をダウンロードしたら、と質問に書いたのはそのためです。Windowsの総本山であるために攻撃されて、タイムリーで感染してしまったのではと思ったのです。マイクロソフトさん、けんかを売ってごめんなさいって感じです。
　ウィルス定義はしつこく最新のものをチェックしています。インターネットに接続して最初にしたのがウィルス定義の更新でしたし。今のところ、PC内に「Sample.exe」なんていうのは見つかっていません。
　詳しくありがとうございました。締め切る前に少し開けておきます。私のお礼の中に不足があったら補足いただけないでしょうか？
　

お礼日時：2001/11/08 04:39

No.3 回答者： blue_leo 回答日時： 2001/10/31 17:30

＞いったい何がいけなかったというのでしょう・・。

ヘンなページでも見たのではないでしょうか？

＞InternetSecurityでファイアウォール設定で、とりあえずOEほかいくつかを「遮断」にしておきました。

効果はあまり期待できないかも知れません。

とりあえず言われたことをやってみたらどうですか？
駆除が確認できない状態での接続だけは絶対にやめてください。

この回答へのお礼

　効果は期待できなくても、そのとき思いついたのはそれぐらい。ファイアウォールの設定なので、外に出て行くぶんには弱そうだとは思いましたが。
　感染経路となったページですが・・。まだネットに接続して４日目でのことでしたので、それほどたくさんのページには行っていません。はあ。どこが感染元なのやら。
　回答ありがとうございました。

お礼日時：2001/11/02 07:12

No.2 回答者： sekiya-h 回答日時： 2001/10/31 16:28

慌てないで、落ち着いてください。

＃１の回答にもありますが、感染したパソコンはネットから隔離しましたか？
まだでしたら、すぐに回線を抜いてください。


ニムダは感染しているＷｅｂページを開くだけで感染します。また、他に感染を広げ、加害者にならないためにもネットから完全に隔離しなければいけません。


他の感染していないパソコンで下記ＵＲＬを確認して下さい。
駆除ツールもＤＬ出来ます。ＦＤに落として対策して下さい。
　　↓
http://www.symantec.com/region/jp/sarcj/data/w/w …

また、その感染していないパソコンから、「riched20.dll」をＦＤにコピーしておいた方が良いでしょう。
修復作業で必要になります。


Ｍｅを利用しているのであれば、復元機能もクリアしなければならないかも？

参考URL：http://www.symantec.com/region/jp/sarcj/data/w/w …

この回答へのお礼

　回答ありがとうございました。ニムダ駆逐前にも思い切り回線接続された状況でした。このページを拝見しちゃいまいした・・・加害者になったかもしれないですね（遠い目）。ごめんなさい・・。気がついてUSBのケーブルを引っこ抜いたところ、パソコンに思い切り脅かされ、しばらく自分の頭が砂時計状態でした。
　マイクロソフトセキュリティ情報センターにも電話しました。
　駆逐ツールをダウンロードしました。コンテンポラリー削除後も何度かウィルスチェックをしましたが、ウィルスは検出されませんでした。ファイル検索で、マイコンピュータ内に「Sample.exe][Readme.exe.][Readme.eml」などのファイルは検出されませんでした。上記の状態後も２度駆逐ツールを使いました。
　教えていただいたシマンテック社のウィルスチェックを受けて何も検出されませんでした。セキュリティチェックもしたところ、HTTPポートがオープンであるといわれ、インターネットインフォメーションを削除しました。
　さらに、もう一度セキュリティソフトをアップデートしました。
　これからIEをアップグレード予定です。現在、この状態です。
　これで、ニムダ駆逐完了と考えていいのでしょうか？かなり疑心暗鬼です。システムから不可視の場所に潜んでいる場合もある、などと聞いてしまって・・。
　
　言い忘れていましたが、OSはWin2000です。回答ありがとうございました。
　

お礼日時：2001/11/02 07:09

No.1 回答者： blue_leo 回答日時： 2001/10/31 12:22

↓検索すればいくらでも情報がヒットすると思います。

もし感染しているパソコンでインターネットにアクセスしているのであれば
ただちにやめてください。
感染したパソコンは完全にオフラインにして別のパソコンなどで情報収集して
ウイルスを駆除しましょう。

参考URL：http://www.goo.ne.jp/default.asp?MT=Nimda&SM=MC& …

この回答へのお礼

　いったい何がいけなかったというのでしょう・・。
InternetSecurityでファイアウォール設定で、とりあえずOEほかいくつかを「遮断」にしておきました。あと、readme.exlを検索してみたところ、４５個ヒット・・。今までgooの無料メールしか使ったことないのに。
　また、Norton Antivirusでウィルススキャンをかけてみたところ、めまいのするような数の感染が見つかっています。そして現在増えている！！倒れそう・・・。性病に感染した気持ちって、こんな感じなんでしょうか。
　いや、まじめに通院中の皆様、ごめんなさい。深刻に悩まれている人もいるんでしょう・・・。動揺しています。
　上のようなことしかとっさに思いつかなかったのですが、OSを再インストールとなれば、Cドライブのフォーマットからはじめなければなりませんか？
　もしよければその方法、コマンド等教えていただければうれしく思います。

お礼日時：2001/10/31 12:51