トロイの木馬に関して

私はノートン・アンチウイルス2005を使用しています。
2005年5月にパソコンを触っていると、いきなりsys.exeというプログラムが大量に起動しました。
不審に思い、ウイルススキャンを行った所、何も検出されませんでした。
そこでsymantecにこのsys.exeを提出したところ、「Backdoor.Trojan デベロッパーノート」に感染している、との結果が出ました。
（sys.exeはC:\WINDOWS\WinSxS\Policies\x86\フォルダにありました。）
このBackdoor.Trojan デベロッパーノートは「山田ウイルス」や「山田オルタナティブ」と関係があるのでしょうか？
また、私はノートン・インターネットセキュリティ 2005も合わせて使用し、ファイアーウォール対策も合わせてしているのですが、これで私のパソコンのファイルが流出する...と言う事は無いですか・・・？

よろしくお願い致します。

No.5 ベストアンサー 回答者： doki2 回答日時： 2006/03/15 12:35

SQL とは

Structured Query Language(構造化問合せ言語) というリレーショナルデータベース(RDB)を操作するために必須となる世界標準言語のことです。

SQLインジェクションとは、

外部から不正なSQL文などを入力（Inject）することでデータベースを操作する手法。
データベースの開発者が意図しない方法でデータベースが操作されてしまうため、データベースに保存された個人情報などが外部に漏洩してしまう

具体的な方法については、このサイトでの禁止項目にあたりそうなので説明できません。

一部のネットショップ等が今週の攻撃を受け顧客情報を盗まれる被害に合っています。

一般ユーザーがこのような攻撃を受けることは多分、ありませんし、もし受けても、攻撃者が狙っているようなデータベースが無いので被害は無いと思います。


>一般ユーザーにも関係あることなのでしょうか？

盗まれたデータの中の「一般ユーザー」の個人情報が含まれることがあります。

昨年夏、「SQLインジェクション」をつかって個人情報を盗んだ中国人留学生が逮捕されたというニュースが流れ、「SQLインジェクション」という言葉が話題になりました。

中国ではSQLインジェクションを用いた攻撃用ツールを簡単に入手できるのだそうです。

http://itpro.nikkeibp.co.jp/free/NPC/NEWS/200507 …

この回答へのお礼

ありがとうございます。
参考になりました。

お礼日時：2006/03/15 15:23

No.4 回答者： doki2 回答日時： 2006/03/14 16:06

☆IRC

IRCってなんですか？
http://irc.nahi.to/what.html

専用ソフトをインストールする必要があり、Windowsの初期設定では使用できません。

☆RPC

リモートからのアクセス制限
http://www.ipa.go.jp/security/fy14/contents/soho …

メーカーによって使われているプログラムはまちまちで必ずしもこのページの説明どおりではありません。

また、インストールされているアプリケーションによって設定が異なることもあります。

初心者の方の場合、これらの設定については、いじらないほうがいいと思います。

☆DCOM

DCOMを無効にする方法
http://www.st.ryukoku.ac.jp/~kjm/ms-windows/dcom/

「このコンピュータで分散 COM を有効にする」のチェックを外した方がいいでしょう。
この場合P2Pソフトは使えなくなります。

>自由に操作されるというのは～

HDDの全内容を公開する「山田オルタナティブ」、Winny利用者以外も注意
http://internet.watch.impress.co.jp/cda/news/200 …

パソコン40万台にアドウェアを無断インストールした男、米国で逮捕
http://hotwired.goo.ne.jp/news/business/story/20 …

「ウイルス対策ソフトを過信しないで」---JPCERT/CC
http://itpro.nikkeibp.co.jp/article/NEWS/2006012 …

古くて新しいネットの脅威「DDoS攻撃」
http://nikkeibp.jp/netbiz/security/051226_ddos/

◇セキュリティ対策ソフトでは防げないネット詐欺も～シマンテック調査
http://internet.watch.impress.co.jp/cda/news/200 …

急速に広がるスパイウェアの脅威
http://www.atmarkit.co.jp/fsecurity/special/86an …

「ボットネット」の正体を探る
http://nikkeibp.jp/sj2005/special/63/

この回答へのお礼

情報提供ありがとうございます。

IRCなどに関して、理解することができました。

#1の
>SQLインジェクションという怪しげな手法でデータを盗む手口もはやりつつあります。

これについても良く分からないのですが、一般ユーザーにも関係あることなのでしょうか？

よろしくお願いいたします。

お礼日時：2006/03/15 01:19

No.3 回答者： doki2 回答日時： 2006/03/14 10:19

IRC

http://e-words.jp/w/IRC.html

RPC
http://e-words.jp/w/RPC.html

DCOM
http://e-words.jp/w/DCOM.html

SQLインジェクション
http://internet.watch.impress.co.jp/cda/news/200 …

パソコンの基本機能には、相互通信機能というものがあり、接続した相手側と相互にファイルやデータをやり取りできますし、場合によっては相手側のパソコンを自由に操作したり、その反対もできるようになっています。

相互通信機能をすべて利用できる状態でインターネット等に接続すると非常に危険ですのでOSやアプリケーション等を使って相互通信機能に制約が加えられています。

例えば、IE等のブラウザーを使ってサーバーにアクセスしてHTMLファイルを閲覧したり、ファイルをダウンロードできますが、一部の例外を除いて、サーバー側から接続相手のパソコンを閲覧したり、ファイルやデータを送り込むことはできないようになっています。

IRC、RPC等はパソコンの相互通信機能を使ってファイルやデータをやり取りしますので、悪意のある相手方に接続された場合、不正なファイルやデータを送り込まれる可能性がありますし、DCOMを使った場合、相手方にパソコンを自由に操作される危険があります。

>共有できる設定になっていては困るので、確認する方法はありますでしょうか？

一般的には、エキスプローラでファイルやフォルダを選択して右クリック。
メニューの「プロパティー」＞「共有」を参照してください。

Winny等P2Pソフトについてとやかく言うのは、このサイトでは禁止されています。

>ポートが開かれると、一体どういったことになるのでしょうか？

侵入した相手方に、好き勝手にやられてしまうということになります。

この回答へのお礼

>IRC、RPC等はパソコンの相互通信機能を使ってファイルやデータをやり取りしますので、悪意のある相手方に接続された場合、不正なファイルやデータを送り込まれる可能性がありますし、DCOMを使った場合、相手方にパソコンを自由に操作される危険があります。

Windows98とWindowsXPには、IRC、RPC、DCOMが標準でインストールされているという事でしょうか？
また、万が一使用できる状態になっていては困るので、確認する方法はありますでしょうか？

>相手方にパソコンを自由に操作される危険があります。
>侵入した相手方に、好き勝手にやられてしまうということになります。

自由に操作されるというのは、パソコン内のファイルが流出してしまう可能性もあるのでしょうか？

パソコンに対する知識がないため、何度も質問して申し訳ございません。

お礼日時：2006/03/14 13:47

No.2 回答者： yoshi-thk 回答日時： 2006/03/12 09:54

バックドア系ウイルスに感染しているという報告があったのですから、可能性は否定できないです。

次のサイトに「山田ウイルス」の情報が出ているので確認して下さい。

ハマーの出張所
http://www.geocities.jp/dkstr_hamar/

NTERNET Wacth
関連記事インデックス 本誌記事に見る“Winny流出”
http://internet.watch.impress.co.jp/static/index …

この回答へのお礼

情報提供ありがとうございます。
突然sys.exeというウインドウがデスクトップ上に大量に起動し、その日の内にsys.exeを削除しました。
ただ、山田ウイルスの本体でもあるsvchost.exeでは無かった為、この可能性は低いと判断しても大丈夫でしょうか・・・？

また、山田ウイルスと山田オルタナティブが発見されたのはいつの事かご存知でしょうか？

よろしくお願い致します。

お礼日時：2006/03/12 21:15

No.1 回答者： doki2 回答日時： 2006/03/12 09:38

>これで私のパソコンのファイルが流出する...と言う事は無いですか・・・？

Windowsでは、IRC、RPC、DCOMとかの危険なチャンネルが初期設定で開かれていますし、SQLインジェクションという怪しげな手法でデータを盗む手口もはやりつつあります。

その道のプロにかかれば、裏から表から、データを盗み取るのは不可能ではありません。

本業で忙しくて、そんな暇が無いのと、そんな不謹慎なことを考える人が殆どいないだけのことです。

盗まれて困るデータはパソコンに保存しないとか、パソコンの前にいないときはパソコンの電源を切るとかのセキュリティーの基本を守ってください。

★ウィルス対策ソフトを無効に

ウィルス対策ソフトを使えば安全だと考える人が多いかもしれませんが、レジストリに特定の値を書き込んでウィルス対策ソフトを無能にしてしまうのは簡単です。

★便利と危険が抱き合わせ

Windowsでは便利と危険が抱き合わせでさまざまな機能提供されています。

例えば、ファイルの共有システムというのがあります。

特定のファイルを特定のメンバー間で共有して、閲覧、編集できる便利なシステムです。

しかし、ファイルの共有を有効にした状態で、Winnyを導入すると共有ファイルを世界中に公開してしまう場合があります。

共有フォルダに保存されているファイルが、人事担当者の人事情報だったり、与信管理者の信用情報だったり、警察官の捜査情報だったり、自衛隊員の暗号情報だったり、医師の患者応報だったり、税務署員の滞納情報だったりすることがあります。

いずれも十分な知識なしにP2Pソフトを使ったりするのが原因ではないかと思います。

★バックドア

Windowsには約65000のポートがあります。

ウィルス等によってひそかに開かれてしまうポートをバックドアといいます。

ウィルス等によって開かれるバックドアが以下に沢山ありうるかを教えてくれるのが下記のページです。

＊「Ports used by trojans (2002-10-15)」
http://www.simovits.com/sve/nyhetsarkiv/1999/nyh …


★オンラインの安全に関するその他のヒントを見る

http://www.microsoft.com/japan/athome/security/d …

こんなところからはじめてください。

この回答へのお礼

ご回答ありがとうございます。

>Windowsでは、IRC、RPC、DCOMとかの危険なチャンネルが初期設定で開かれていますし、SQLインジェクションという怪しげな手法でデータを盗む手口もはやりつつあります。

私はIRCなどについてよく分からないのですが、これらはいったいどういった物なのでしょうか？

>例えば、ファイルの共有システムというのがあります。
>特定のファイルを特定のメンバー間で共有して、閲覧、編集できる便利なシステムです。

万が一共有できる設定になっていては困るので、確認する方法はありますでしょうか？

>ウィルス等によってひそかに開かれてしまうポートをバックドアといいます。

ポートが開かれると、一体どういったことになるのでしょうか？

よろしくお願い致します。

お礼日時：2006/03/12 21:29