トロイの木馬に感染？ 助けてください

先日ノートンでスキャンしていたところBackdoor.Graybirdというウイルスが検出されました。
http://www.symantec.com/ja/jp/security_response/ …
上記サイトにしたがって調べたところ、パソコン内部にSvch0st.exeは無く、レジストリもおかしな所は無かったのですが（初心者なので少し自信ありません）
どうも気味が悪いので大事なファイルをバックアップして週末にでもリカバリしようと思っています。

そこで質問なのですが、
１．このバックドアトロイの木馬は情報を盗むものらしいのですが、今現在ルーターと無線LANを使ってパソコンを3台ほどそれぞれインターネットに接続しています。
ただし、どれもつなげてるのはインターネットのみで、ファイルの共有などパソコン同士を繋げるといった事はしていません。（無線でも有線でも）
こういう場合、他のパソコンの情報も盗まれたりしているのでしょうか？

２．リカバリをすれば、トロイの木馬によって知られてしまったこのパソコンへの侵入経路（方法？）からの侵入は防げるようになるのでしょうか？

どうかご教授よろしくお願いいたします。

No.2 ベストアンサー 回答者： ryu-fiz 回答日時： 2008/07/29 23:04

実のところ…パソコンから検出があったら感染している、という判断は早過ぎると思われます。

人間のウイルスの場合でもそうですが、体に菌が入ったら必ず発症するものばかりとは限りません。で、発症していない状態で発見されたのであれば、それを隔離したり（ノートンでは『検疫』という用語を使うと思いますが）削除したり出来れば、当面の問題はないと考えられます。

質問者さんの場合、感染によって内部生成される筈のファイルやレジストリキーが一切存在していないようですので、発症はしていない状態である可能性が濃厚です。そうであるなら、リカバリが必至とは到底思えません。

ただしこの際ですから、一度ノートン製品以外の手段で感染のチェックをされておく方がよろしいでしょう。カスペルスキーのオンラインスキャンがお勧めです。

http://www.kaspersky.co.jp/virusscanner

Tracking Cookieのような軽微なもの以外で何らかの検出があるようなら問題だと思いますが…目立った検出がなければ、大丈夫だと思います。

また、次のような場所からの検出であれば大きな問題がないケースというのもあると思われます。

１）インターネット一時ファイル、あるいはIE以外のブラウザのキャッシュフォルダからの検出。インターネット一時ファイルやブラウザのキャッシュをクリアした後で再検査して感染が見つからなければ問題はないでしょう。

２）"Temp"とつくフォルダからの検出。こうしたフォルダ内のファイルは一時ファイルと呼ばれ、一時的に置かれただけの場合もあります。これもファイルそのものが簡単に削除出来るなら大きな問題はないと考えられます。

３）"_restore"とつくフォルダからの検出。これは『システムの復元』に使われるバックアップ領域からの検出です。ソフト上からの削除は難しいですが、システムの復元を一旦無効にし、再度有効にすることでバックアップ領域も破棄され、検出されたものもなくなります。この領域以外から何も見つかっていないなら、やはり当面の問題はないものと考えられます。

ということで…オンラインスキャンによって、感染を再確認されることが最優先です。単に後味が悪いというだけでリカバリに踏み切るのは無駄が多いと思います。本当に深刻な感染に遭っているかどうかをきちんと見極めるべきです。

>１．このバックドアトロイの木馬は情報を盗むものらしいのですが、今現在ルーターと無線LANを使ってパソコンを3台ほどそれぞれインターネットに接続しています。 (中略）こういう場合、他のパソコンの情報も盗まれたりしているのでしょうか？

各パソコン上で個別にファイアウォール機能付きのウイルス対策ソフトが導入されていれば、また各パソコン上に同様な感染が飛び火していなければ、情報漏洩はまずないでしょう。その見極めのためにも、LAN環境内全てのパソコンで同様なウイルスチェックを行なうべきです。

>２．リカバリをすれば、トロイの木馬によって知られてしまったこのパソコンへの侵入経路（方法？）からの侵入は防げるようになるのでしょうか？

悪意のある第三者が感染パソコンにアクセスするに当たっては、別に感染したパソコンのIPなどを控えていてそこにアクセスする訳ではないと思われます。パソコン内に侵入したトロイの木馬が相手方のマシンに向けて接続要求を出し、それによって通信が成り立つと考えて良いでしょう。また、ある種の感染はバックドアという裏口を空けて、不特定の第三者がアクセスしやすいような仕組みをつくってしまいます。

いずれにしても、リカバリなどでハードディスク内を完全に初期化すれば殆どのケースで感染の痕跡は消えます。

ただし…ファイアウォールがきちんと設定されていないパソコンにおいては、単にネットに繋いでいるだけでも感染は発生しますし、これまで通りのパソコンの運用では、再度同様な感染に遭う危険性も高いと思われます。

安全にリカバリを進めるためには、次のURLを参考にしてください。
http://iwata.way-nifty.com/home/2004/10/1017.html

昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。同様な感染を防ぐために次のような点に注意してください。

１）各種アプリケーションソフトのセキュリティ更新を怠らない。

Windows Updateの必要性はこれまでも叫ばれていますが、悪用されるセキュリティ上の問題点＝脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、

・Firefox、Operaなどのブラウザ。
・Sun Java 仮想マシン(JRE)。
・Flash PlayerやShockwave Playerなどのプラグイン。
・Real Player、QuickTimeなどのメディアプレイヤー。
・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。

最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けのある悪意のあるサイトにこっそり転送されて感染が試みられます。

http://internet.watch.impress.co.jp/
http://www.itmedia.co.jp/enterprise/security/

こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。

２）標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。

IEで扱うことの出来るJavaScriptは特殊なもので、各種感染に利用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。

でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。

http://www.mozilla-japan.org/products/firefox/
http://jp.opera.com/

もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。

もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。

http://www.oshiete-kun.net/archives/2006/05/iere …

制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。

この回答へのお礼

大変詳しいご解説ありがとうございます。熟読させていただきます。
＞実のところ…パソコンから検出があったら感染している、という判断は早過ぎると思われます。
そうなんですか、ありがとうございます。
ただ、検出したファイルというのがレジストリを書き換えて（？）ゲームを改造する類のexeファイルで、一度実行してしまったことがあるので心配なんです。

いきなりリカバリするのは早計だったようですね。
まずは上記のサイトでスキャン等をしっかりして、そのうえでリカバリについて考えようと思います。仮にリカバリする際には上記を参考にさせて慎重にするようにします。

ところでリカバリ領域にウイルスを仕込まれてるということはあるんでしょうか？
仮にリカバリするとしてもそこだけが心配なんですが……。

お礼日時：2008/07/30 20:39

No.8 回答者： ryu-fiz 回答日時： 2008/08/01 23:41

>ところでリカバリ領域にウイルスを仕込まれてるということはあるんでしょうか？

>仮にリカバリするとしてもそこだけが心配なんですが……。

その辺だけ。最近流行しているUSBメモリ関係の感染などだと場合によってはハードディスクリカバリのリカバリ領域にも感染が及ぶ可能性はあるように思われます。

しかしながら、ノートン製品利用中ならその殆どは検出可能だと思いますし、ハードディスクリカバリの領域にウイルス感染が及ぶ可能性はないとするご意見もあります。

http://soudan1.biglobe.ne.jp/qa4208621.html

上記質問で10番目に回答してらっしゃる方は、日本語圏で最も有名なマルウェア感染対策サイトとして知られるhigaitaisaku.comの質問掲示板で回答を行うマルウェア感染対策のエキスパートです。

実際のところ、リカバリしてもなお感染が見つかるというケースもないわけではないですが…そうなる可能性は通常かなり低いと考えられます。

取り敢えず、今は感染の有無を再チェックされることが最優先です。そして軽微ではないと思われる感染が見つかったら、速やかにリカバリを行うのでよろしいのではないかと思われます。案ずるより産むが易し、ということです。

この回答へのお礼

ご丁寧にありがとうございます。
＞ノートン製品利用中ならその殆どは検出可能だと思いますし、ハードディスクリカバリの領域にウイルス感染が及ぶ可能性はないとするご意見もあります。
リカバリ領域への心配はあまり無いようで一安心です。
一先ずはスキャン等をしっかりしたいと思います。

重ね重ね本当にありがとうございました。

お礼日時：2008/08/02 04:36

No.7 回答者： noname#85510 回答日時： 2008/07/31 11:10

メーカーに聞くのがベストでしょう。

私はカスペルスキーを薦めます。カスペルスキーはオンラインスキャン作動し常にウィルスが入った時点でパソコンがギャーとけたたましく鳴ります。その時点で即、削除出来ますし、完全スキャンを２週間か3週間に1度やっても１００%ウィルスは発生致しません。理由はオンラインスキャン（プロテクション）が作動しているからです。

この回答へのお礼

カスペルスキーなかなか良さそうですね。検討してみます。
ありがとうございました。

お礼日時：2008/08/02 04:30

No.6 回答者： wamos101 回答日時： 2008/07/31 01:02

#3です。

度々すいません。

対策ソフトに関して申しますと、総合対策ソフトではKaspersky Internet Securityが今のところベストです。

で、不測の事態に備えるためにも普段からシステムも含めてバックアップを取るようにしておいたほうが無難です。

この回答へのお礼

ありがとうございます。
今後はこまめにバックアップを取るよう心掛けます。

お礼日時：2008/08/02 04:28

No.5 回答者： yayoi4736 回答日時： 2008/07/30 03:07

１です。

このトロイ君は非常にカンタンなものです。トロイの木馬は基本的に感染しやすいですが、その分退治もしやすいです。その行動から言って、気づくまでが問題です。
妙にあせったり怖がることはありません。ちゃんと退治できてます。
ご質問者様も自らスキャンしていますので、今後もそーゆーのには注意されてください。

この回答へのお礼

度々ありがとうございます。
＞妙にあせったり怖がることはありません。ちゃんと退治できてます。
質問当時は焦ってパニック状態だったのですが、皆さんのおかげでだいぶ落ち着きました。
今後はしっかりと気をつけて行動していきたいと思います。

お礼日時：2008/07/30 20:49

No.4 回答者： wamos101 回答日時： 2008/07/30 00:24

#3です。

若干追記。

NIC(Network Interface Card)の脆弱性情報などもチェックしたほうがいいですよ。メーカーのサイトの情報をチェックするようにする。

もちろん、各種使用アプリケーションのアップデート情報などもこまめにチェック。最近では各種アプリケーションの脆弱性を悪用した受動的攻撃が非常に多いですからね。

この回答へのお礼

はい、気をつけます。
NICの脆弱性は全く盲点でした。ありがとうございます。

お礼日時：2008/07/30 20:45

No.3 回答者： wamos101 回答日時： 2008/07/30 00:13

こんにちは。

当方はクラッカーコミュティー潜入調査や対策ソフトの多角的性能テストなどをしております。

こちらをご利用になるといいですよ。

http://www.securityzone.zapto.org/virusscan.htm

で、以下は感染が確定したという前提で回答します。

A1:
例えば、脆弱性を放置していたりすると共有をしていなくても起こり得ます。

A2:
そもそもリカバリというのは、トラブルや不具合などで購入初期状態に戻すことです。副次的にMalware除去にも有効ということです。


で、私は#1さんの意見とは違いまして、FWは受動的攻撃には相対的に弱いです。

あと、ここ最近のMalware作者やクラッカーは、ルータや対策ソフトの導入を見越した攻略を仕掛けてくるようになってます。暗号化やパッキング等によってスキャンをすり抜けたり、デフォルトブラウザ成りすましなどによる情報奪取なども行われるようになってきています(Firewall Bypass)。ウィンドウレス。

急に今思い出したんですけど、このBkdrは中国製のやつですね。

この回答へのお礼

ご親切にありがとうございます。
上記のサイトを参考に調べてみます。

＞このBkdrは中国製のやつですね。
中国ですか……最近いろいろありますが怖いですね。

お礼日時：2008/07/30 20:43

No.1 回答者： yayoi4736 回答日時： 2008/07/29 22:38

まず、ディスクスキャンの上、そのファイルが見つからなければもう大丈夫です。

そーゆーことがお好きなら別ですが、リカバリなんて今週末にしても無意味です。
セキュリティソフトには、通信ログを表示する画面があります。あやしいIPアドレスに送信してませんか？していれば、ヤフオクのパスワード変更、プロバイダのメールアドレス変更、ネットバンキングのIDパス変更などを行ってください。

1.ぶっちゃけて言いますと、どのような状況でも盗まれる可能性があります。ただ、それぞれにファイアウォールを効かせているなら、多分大丈夫でしょう。

2.トロイの木馬は侵入するのではなく、何らかの方法で感染し、PC内のデータを勝手に送信するものです。ですので、パソコンそのもののへの侵入は今もこれからもないでしょう。

トロイの木馬はよく知られているメールの添付ファイルでの感染以外にも、
・画像掲示板の画像やバナー広告画像からの感染（普通はJPEG形式やPNG形式が普通ですが、GIF形式だったりする）
・どっかのサイトのクッキー（アドウェアの振りをして個人情報を送信…変なサイト訪問時にクッキーを食べない）
などもあります。
画像掲示板や投稿サイト、海外サイトなどの閲覧には十分注意してください。

この回答へのお礼

大変分かりやすい解説ありがとうございます。
通信ログでは特におかしなものは無かったと思います。
『ファイル共有を遮断』というのがいくつかありましたがこれは問題ないのでしょうか？

実はスキャンに引っかかったのは海外の提示版で拾ったものだったようです。
今回のことで身にしみました。ご警告ありがとうございます。

お礼日時：2008/07/30 20:15