modul***.exeが勝手にSMTPで偽装メールを送信します。助けてください！

初心者で失礼な点があるかもしれませんが,ご教示頂けます様お願いします。
使用しているPCはメーカ製ノートPCです。
OSにはWINDOWSXP-SP2で最新のAntiVirus,Spypodを利用しております。
最近,PCが妙に重いと思いましてNetstatで調べましたところ,同じポート番号からTCP25(SMTP)で知らないグローバルアドレスに対し、ものすごい勢いで送信しておりました。(1秒間に3～4セッション程です)
パケットの中身をEtherealでキャプチャーしました所、
『知らないメールアドレス』から『知らないメールアドレス』へネットショッピングの勧誘テキストメールを送信しているようでした。
※ http://www.ottislan.comというアドレスですが,外国のショッピングモールのようです。このURLは行かない方がいいと思います。
次に,タスクマネージャ等で追跡した結果、
<Drive>:\Documents and Settings\<USERID>\Local Settings\Temp
に『modulhae.exe』というファイルが出来ており,これがメールを送信しているようでした。
但し,modulの後の部分が違うファイルが複数ありまして,最後のhaeは適当な文字列と考えられます。
削除の試みとして,このファイルのプロセスを停止し,上記ファイル削除,レジストリでこのファイルのエントリを全て削除しました。
ところが,Windowsを再起動してInternetにつなげると,またファイルが出来ており,勝手にSMTPでパケットを投げ続けます。
※ 上記の補足ですが,グローバルアドレスを付与されるInternet接続では症状がからなず出ますが,プライベートアドレスを付与したルータ経由にすると途端に出なくなります。何がトリガーになるのか不明瞭です。
このように厄介なウイルス系ファイルですが、
Googleやヤフー等のネットサーチで調べても該当記載が全然ヒットしません。
どなたか,このウイルスのようなファイルの詳細と対処法をご存知の方は是非教えてくださいますようお願い申し上げます。

No.4 ベストアンサー 回答者： AirRock_Fan 回答日時： 2006/02/10 11:23

原因は他の方が応えていますので、とりあえずの対処方法です。

まず対象のプログラムは俗にボットと呼ばれるプログラムです。ボットプログラムはウイルスやWeb経由、不正アクセス等でPCの場所内におかれます。

ボットプログラムは、ツール等でカスタマイズされる事も多いので、サンプル数も少なくウイルス対策ソフトで検知できる例は希です。
逆にソフトを過信しないことが大事ですね。

対策方法は基本的にClockupさんの手順で結構なのですが、その作業はワームが実行されている環境ではすぐに書き戻されますので、必ずセーフモードで行わなくてはなりません。

また、そのボットが実行するためにWindowsファイアーウォールに例外登録が行われている可能性が高いので、いちどそちらの設定も調べる必要があります。

また駆除作業が完了するまでネットワークは切り離す方が結構です。

最後に、対策を行う場合にボットのプログラムとほぼ同じ日時にPC内(特にc:\windows\system32\)に作成されたファイルを検索してください。

ファイルバージョン情報やメーカー情報のないファイルで隠し属性やシステム属性になっているファイルがあれば、そちらがワーム本体の可能性があります。

このプログラムも見つけるためには、フォルダオプションの表示の項目で一番下の「保護されたオペレーティングシステムファイルを表示しない」のチェックを外さないと発見できません。

無論駆除作業は、セーフモードで行うことが基本です。

駆除が終わったら再起動後ファイアーウォールの再点検を行って、ネットに接続、仕上げにシマンテックのオンラインスキャンで検索を行ってください。
(検索のみで駆除はしませんので注意してください)

この回答へのお礼

的確なご回答誠にありがとうございます。
色々と参考になる箇所が多々あり一番参考になりました。FWの例外登録もされておりました。
ただ、セーフモードでファイルとレジストリ削除を実施しましたが、結局また復活してしまいました。
多分このmodulhae.exeは本体ではなく、SMTPの実行のみで、本体はAirRock様の仰るとおりSystem32などの何処かに隠れているような感触があります。
残念ですが今回はあきらめてリカバリかなと思っております。ご対応誠にありがとうございました。

お礼日時：2006/02/10 19:24

No.5 回答者： hoihence 回答日時： 2006/02/10 17:53

俺もNo.4の専門家さんが言うようにBot系のやつだと思いますね。

最近ではmalware作者とスパム業者が結託してたりしますからね。
ぜんぜん珍しくなくなってます。

なんせ、その筋のコミュニティーなんかではBotやRATが人気があるそうですから。アンチウイルスやアンチスパイウエアに検知されないように細工された特別のバージョン作成を請け負って商売してるところもあるそうです。

>上記の補足ですが,グローバルアドレスを付与されるInternet接続では症状がからなず出ますが,プライベートアドレスを付与したルータ経由にすると途端に出なくなります

そう、だから、グローバルIPだと外部から命令を受けられるからですよ。プライベートIPだとマシン上で待ち受けしてるプロセスとやり取り出来なくなるから。

で、No.4の専門家さんの言われる対処で解消するといいんですけどね。
場合によってはセーフモードでも機能するようになってるかもしれません。もし、その場合にはCDブートとかで削除して下さい。

おそらく、対策の仕方が不十分だったか、すり抜けがあったんでしょうね。

No.3 回答者： yoshi-thk 回答日時： 2006/02/10 09:09

質問文からノートン・アンチウイルスを使っていたようで、

ノートン・アンチスパムやノートン・インターネットファイアウォールを使っていないのですね。

というのは、僕の経験からすると、不正アクセスされて、それでスパイウェアかバックドア系のウイルスに入り込まれて、
不正広告メール送信の土台に使われていると思います。

TCP25から送信と言うことなので、ポート25番を使用して送っている迷惑メールの送信ツールが不正に入ったのでしょう。

とりあえずの処置としては、パソコンのリカバリをして、
ウイルス対策としてのノートンアンチウイルス以外に、
ファアウォールソフトの使用と、ADSLや光ファイバーであれば、ルータの使用を勧めます。
このことで外部からの不正アクセスは、低減されます。

なお、ポート25番の問題については、次のアドレスの内容等を確認してください。

アットマーク・アイティ　＠IT > Security&Trust > 25番ポートの攻防
http://www.atmarkit.co.jp/fsecurity/column/ueno/ …

最近のspamの傾向とOutbound ポート25ブロッキング
http://www.hart.co.jp/spam/ob25block.html

INTERNETWatch
BIGLOBEが25番ポートからのメール送信を制御、迷惑メールの9割に効果
http://internet.watch.impress.co.jp/cda/news/200 …

この回答へのお礼

ご指摘頂いたように、安全性を考えますとリカバリが一番確実ですね。
ルータの常時利用はしたいのですが、生憎とMobileカードで利用する機会が多い為、FWの利用しかないようですね。25番ポートの件ありがとうございます。早速参考にさせていただきます！ありがとうございました！

お礼日時：2006/02/10 18:05

No.2 回答者： PrintScree 回答日時： 2006/02/10 06:45

AntiVirus,Spypodは常駐させてリアルタイム検索させておけばこんな事にならなかったと思うのですが…

SpybotもTeaTimerを常駐させておけばレジストリを書き換えられずに済んだはずです。

対策ソフトをインストールしただけで安心していませんでしたか？

迷惑メールの発信元になっているのなら、ネットから隔離して早急に再インストールしてください。

この回答へのお礼

ご指摘頂きましたとおりですね。痛感しました。
SpybotのTeaTimerなるものがあるのですか。
こちらのソフトは不慣れな為、勉強していく所存です。
ありがとうございました。

お礼日時：2006/02/10 17:57

No.1 回答者： violet430 回答日時： 2006/02/10 05:20

ウイルスを検知して駆除して下さい

http://homepage2.nifty.com/winfaq/c/hints.html#1 …
また、ウイルス対策ソフトは常駐していないのですか？

この回答へのお礼

ご回答いただきながら遅くなりまして申し訳ございません。
残念ながらAntiVirusやマカフィではウイルスとしては検知してくれませんでした。
スパイウェアは頻繁に利用していたつもりでしたが、まだまだ甘かったようです。
FWの常駐は必須ですね。今後はFWも入れていくつもりです。

お礼日時：2006/02/10 17:52