ノートンがウイルスを見つけたのです・・・

ノートンインターネットセキュリティ2007を入れております。

今朝、ノートンが反応して、ウイルスを見つけたため削除したというメッセージが出ました。
○メッセージの概要
・ウイルス名　Backdoor．haxdooor
・完全に削除しました

ログビューワで確認しますと下記のとおりです。
・ノートンの定義バージョン　2007.05.17.018
・状態　削除しました
・推奨する処理　なし

リスクの詳細を確認しますと下記のとおりです。
影響する領域
・１個のファイル
\WINDOWS\system32\drivers\CO_Mon.sys　
・１個のサービス
　CO_Mon

こういうケースが初めてだった為、とても慌ててしまっております。
一応、ノートンが対策は取ってくれたといえ。。。

1.今回のケース、どこから感染したかを知ることは出来ますか？
2.ファイル自体がウイルスだったのでしょうか？それとも既存の正しいファイルにウイルスが感染したのでしょうか？
3.感染していたというファイルは、削除してよかったものでしょうか？
4.いつから感染し、どのような影響があったと思われますか？
5.対策はどのように行えばよろしいでしょうか？

アドバイスの方、よろしくお願いいたします。

No.6 ベストアンサー 回答者： nicomitsu 回答日時： 2007/05/23 23:14

こんにちは、はじめまして。

質問ナンバーQNo.3012466（http://oshiete1.goo.ne.jp/qa3012466.html）のご質問欄から来ました。
私もインターネットセキュリティ2007で、同じ現象が起きました。
内容も同じです。
（ノートンの定義バージョンは　2007.05.17.073　でした。）

１～５まで、私も同じ事を思いました！
で、シマンテックのサポートにメールで問い合わせしてみたんです。
質問ナンバーQNo.3012466（http://oshiete1.goo.ne.jp/qa3012466.html）の方のところにA No.5として書かせて頂きましたが、シマンテックサポートからの回答のメール内容は、

今回のBackdoor.Haxdoor検出の件に関しては、「Symantec　2007-5-17ウィルス定義ファイルの誤検知だと確認できました」とのことでした。
この件については最新のウィルス定義ファイルで修正されたので、「Liveupdateでウィルス定義ファイルを最新に更新をお願いいたします」、とも書かれていました。

ご自分でも実際に確認をとられたいなら、メールか電話でシマンテックのサポートに聞いてみるのも良いかと思いますよ^^

今回のことでは、ウイルスってある日突然現れるんだな、と自分のセキュリティを見直す機会にもなりました。
他の方々の詳しいコメントも参考にさせていただこうと思います。

この回答へのお礼

こんばんは。

心が落ち着く内容のメールを送っていただき、
本当にありがとうございます。

お調べいただいたとのこと。とても助かります。
自分も心配だったらそのくらいのことしないといけないですよね。。。

ありがとうございました。
セキュリティについて、今まで以上に気をつけます。

お礼日時：2007/05/28 20:40

No.5 回答者： FMVNB50GJ 回答日時： 2007/05/19 15:37

http://www.f-secure.com/blacklight/
Click here
I accept
Click the button/link to download Blacklight Beta (graphical user interface version)のものをダウンロード、デスクトップのほうがいいと思うが。

完全に削除しました、と言うことだから、完全に削除したような感じ。

当方いつもシステムの復元を無効にしており、ほかにも一時ファイルなどを削除している。
「検疫」だったかな、永久に削除と言う操作をしたら完全に削除するはずだけど。最近ノートンを使っていないのであいまい。

オンラインスキャンしてないし、ルートキットスキャナーでスキャンしてもないなら、ほかにやりようがない。

誤作動？記録残っているのでそうでもないらしいけど。
御安全に。

この回答へのお礼

補足していただきありがとうございます。

行った対策を羅列します。
1.ノートンインターネットセキュリティ　完全スキャン
2.Ad-aware SE Personal
3.Spybot Search&Destroy
上記はスキャンしても、セーフモードでスキャンしても、
ウイルスは見つかりませんでした。

4.シマンテックセキュリティチェック
5.マカフィー　スキャン
6.F-Secure 　スキャン
7.カスペルスキー　 ウイルス・スパイウェアスキャン
8.F-Secure　ルートキットスキャナー
上記でスキャンしても何も発見されませんでした。

ちなみに、、、
自分と同じ症状になった（？）方が、私の後で質問してますね。。。
お互い誤作動であることを祈ってます。。。

お礼日時：2007/05/19 18:05

No.4 回答者： FMVNB50GJ 回答日時： 2007/05/19 05:59

http://itpro.nikkeibp.co.jp/article/NEWS/2007020 …
それには「「Haxdoor」というトロイの木馬」について面白いことを記事にしています。

感染ルートについて見当もつかないと、不安でしょう。
セキュリティは、データに対するものとデータの保存です。
データをパソコンに入れるときには日常のセキュリティ意識が重要になる。

http://www.f-secure.com/blacklight/
ルートキットスキャナーを入れて、たまにはスキャンしては。

しかし、感染ルートは、どう考えてもあなたの普段のパソコン使用からですよね。誰かが入れたわけでもないから。

P2Pソフトやっていませんよね。

対処法はノートンのサイトを見るか、別のメーカーのオンラインスキャンをやってみて、何か出ないか試し、出たら検出名から検索、などだと思います。

windows XP SP2ですか？

ルートキットの場合の対処法は、基本的には、ハードディスクデータ削除の後にリカバリですが。

たいてい、侵入時に反応すると思いますが、たとえば、アクセスしたときに侵入して反応、ダウンロードしたときに反応、など。と言うことで、侵入時の作業内容でおおよその感染ルート、ズバリの感染原因がはっきりしますが、なんか、いつの間にか侵入してたまたまノートンが検出したようにも取れますが。

対策と言っても、一概には決められないと思います。
自分では、大部分のデータはネットからのもので、ブラウズのセキュリティとして
fire foxを使い、
http://www.siteadvisor.com/download/ff.html
https://addons.mozilla.org/ja/firefox/addon/722
を入れています。目安になるのとサイトごとにスクリプトを設定できることです。

この回答へのお礼

こんにちは。

ルートキットスキャナーのＨＰ見てみました。
全部英語ですね・・・一番下の　click here to download
を押せばいいのでしょうか。

なお、ファイル交換・共有ソフトは一切やっておりません。
osはwindows XP SP2です。

オンラインスキャンですが、
シマンテック、f-secure 、トレンドマイクロ、カスペルスキーを全部やりましたが、
発見されませんでした。

ウイルス発見については、
ノートンのクイックスキャンで見つかりました。
これは定期的に行われているもので、前日もほぼ同じ時間にスキャンがかかってましたが、その時は見つかりませんでした。
その間に侵入されたか、定義ファイルが更新され、発見されたのでしょうか。

お礼日時：2007/05/19 14:10

No.3 回答者： noname#151570 回答日時： 2007/05/19 00:03

＞これは、ノートンのオンラインスキャンのファイルが感染してしまったのでしょうか！？

オンラインスキャンがちゃんと機能するかどうか試されたらいかがでしょうか。
そのくらいしか、もう思いつきませんが・・・。
http://security.symantec.com/sscv6/home.asp?lang …

＞ad-aware spybotとspybot blaster
蛇足ですが、
Ad-aware SE Personal, Spybot Search&Destroy、そしてSpyware Blasterのことですね？
これらはアドウェアとスパイウェアの対策ソフトなので、基本的には防御も削除も不可ではないですかね。

No.2 回答者： noname#151570 回答日時： 2007/05/18 22:39

＃１です。

言葉足らずで、失礼しました。

ノートンが削除したのは「ウィルスそのもの」で、「感染したファイルではないのではないか」、という意味です。

＞前回の完全スキャンは５月８日でした。
個人的な感想ですが、少々開きすぎではと思います。
私は、NOD32ですが１週間に一度は自動スキャンの実行を設定し、また、必要に応じ手動でスキャンをかけています。
その他にもスパイウェア対策ソフトを数種入れていますが、これらも１週間に一度はスキャンを実行しています。

スキャンをかけながらもブラウジングなど他の作業が出来ますので、苦にならないです。

＞「駆除方法」を行う必要がありますか？
ノートンで定義ファイルに入っているようですし、もう一度、完全スキャンを行われて何も無ければ必要はないと思います。

この回答へのお礼

早速補足していただき、ありがとうございました。

ということは、

○リスクの詳細　影響する領域
・１個のファイル
　\WINDOWS\system32\drivers\CO_Mon.sys　
・１個のサービス
　CO_Mon

というのは、感染したファイルは、上記\～で、
そのファイルに付いていたウイルスを削除した、ということでしょうか。

ちなみにログビューワでも、
・発生源として下記の内容が書いてあります。
c:\WINDOWS\system32\drivers\CO_Mon.sys

で、リスクのカテゴリがウイルスであると、、、
これは、ノートンのオンラインスキャンのファイルが感染してしまったのでしょうか！？
うーん、今日のことが全て間違いであって欲しいなぁ。。。

ちなみにノートン最新定義で完全スキャンしましたが、
何もありませんでした。

ad-aware spybotとspybot blaster は入れてあります。

お礼日時：2007/05/18 23:50

No.1 回答者： noname#151570 回答日時： 2007/05/18 21:56

あくまで参考です。

＞haxdooor→haxdoorですね？

次はご覧になりましたか？駆除方法や感染予防法などが書いてあります。
http://www.symantec.com/region/jp/sarcj/data/b/b …

ノートンが、削除したとのことなので特に処理が必要がないような感じですが、最新のアップデート状態で、もう一度ディープスキャンされたらいかがですか。

ノートンが削除したのはトロイの木馬のようですが、ウィルスそのものではないですかね。

なお、CO_Mon.sysは、ノートンのアンチウィルスソフトに関係するファイルで、オンラインスキャンに使用されると記述があるようですが・・・。
http://www.greatis.com/appdata/a/c/co_mon.sys.htm

経路は何でしょうか。私も詳しくは分かりません。

この回答への補足

なお、ノートンで発見され、完全に削除されたようですが、
それでも、ご紹介いただいたＨＰに記載のとおり、
「駆除方法」を行う必要がありますか？

補足日時：2007/05/18 22:28

この回答へのお礼

早速ご連絡いただきありがとうございます。

正しいつづりはご指摘のとおりです。失礼しました。
ノートンの表示によると、「Backdoor．haxdoor」の後に、
アルファベット等の記号はありません。
「Backdoor．haxdoor」だけです。

2003年のウイルスですが、その当時からノートンを入れておりました。
キチンとスキャンしてます。前回の完全スキャンは５月８日でした。

＞ノートンが削除したのはトロイの木馬のようですが、ウィルスそのものではないですかね。

すいません。こちらの意味がわかりません。
トロイの木馬はウイルスではないのですか？

お礼日時：2007/05/18 22:27