WORM_DOWNAD.ADが社内にしょちゅう進入してきます

Question

お世話になります。
本社社内でＬＡＮ構築してあり、他営業所のパソコンもＷＡＮで接続されています。

ウィルスバスターを入れております。パターンも常に最新になるようにしてあります。

あるときWORM_DOWNAD.ADのウィルスが本社社内で一斉に感染しました。
他の営業所では発生していません。
トレンドマイクロのＨＰでMS08-067のセキュリティホール修正する
ように記載されていましたので、本社含む全営業所にこのセキュリティホールの
修正を適用しました。
そしてWORM_DOWNAD.ADの駆除ツールをダウンロードし実行
そしてウィルスバスターによるスキャンをしました。全台数です。

ですが数日後、特定のパソコン５台だけ一斉に感染します。
念のため再度セキュリティホール修正の適用
同じようにサイド駆除ツール、ウィルススキャンして駆除しています。

ですが、同じ時刻に一斉にこの5台だけが数日後にウィルスバスターに
より感染画面がでます。一斉感染後５回同じ日の同じ時刻にこの５台だけが感染します。

USBフラッシュメモリも使用していませんし、ネットワークドライブの共有もしていません。

ですが、共有ハードディスクドライブ（HD-LAN）を感染している５台中
３台使用していますが、この共有ディスクをオンラインスキャンしても
ウィルス検知しません。

このWORM_DOWNAD.AD対策にはあとどのような方法がありますでしょうか？


そこで

John_Papa · Accepted Answer

お疲れ様です。人事ではないですね。

WORM_DOWNAD.AD というのは、
代表的USB経由ワーム Conficker B,C のTrendmicro社での呼び名ですね。

既にしらべられているでしょうが詳細ページも参考にしてください。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD&VSect=T
なかなか面倒な相手ですね。

トレンドマイクロに書かれていない事を補足して置きますと、

まず、Windows XPの場合、Tweak UIにて、Mycomputer\AutoPlayで、CD-DVD以外のドライブはAutoPlayを解除します。
Tweak UIのXP版は下記からダウンロードできます。（ページ右のリスト中ほどにあります）
http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx
ＰＣ起動時に共有ハードディスクドライブがネットワークドライブにマウントされるなどで自動感染してしまわないよう(Autorun.inf無効)にするためです。

駆除には、「Microsoft Windows 悪意のあるソフトウェアの削除ツール」をダウンロードして使用します。
このツールは、月例アップデートでも実行されますが、その場合実行後削除されてしまいますので、必要時にダウンロードする必要があります。
http://support.microsoft.com/?kbid=890830

こののち、セーフモードにて各ＰＣをウイルスバスターによるスキャン。既に他のマルウエアをダウンロードしているかもしれませんので。
最後にクリーンになったAutorun.inf無効ＰＣで共有ハードディスクドライブ（Linux系のNASですか？）をスキャン
という手順になるでしょう。

この手順で行かないと、何度でも感染することになります。

Aoox · Answer

他の回答者さんも言われているように、どこかに感染したファイルが残っていたりする可能性があります。

時間はかかりますが、下記のソフトでネットワークサーバー、各クライアント端末のフルスキャンを行ってください。

他のセキュリティーソフトでは発見できないこともあるウイルスが引っ掛かるかもしれません。
試用版があるので、DLしてみてください。

ソフト名:Kaspersky 

一応企業ということで、個人向けの対策ソフトもありますが、法人向けのソフトをDLされることをお勧めします。

個人向け：www.just-kaspersky.jp
法人向け：http://www.kaspersky.co.jp/trials

なお、法人向けの最上位エディションは「Kaspersky Work Space Security」です。

T-200 · Answer

私は詳しい人ではありませんので参考程度でお願いします。

すくなくともその５台では完全な駆除は出来ていないと考えられます（ネットワーク内に何らかの再感染原因が潜んでいるかもしれませんが）。

一斉に再感染するわけですからそうしたタスクがスケジュールされていて、それが実行されていると思われます。
Conficker.worm（Downad/Downadup）の亜種では感染ファイルが駆除さらた場合でもそうして再感染させるものもあるようですし、ネットワーク全体に感染した場合は完全な駆除が難しいとか聞いた事もあります。
どのベンダの駆除ツールで駆除したか不明ですが、一応複数のConficker.worm駆除に対応しているMcAfeeのStingerを紹介してみますが、今回の場合はあまり改善は期待出来ないかもしれません。
http://www.mcafee.com/japan/security/stinger.asp

会社のシステムですので、専門業者に対応相談されるのが良いのではないでしょうか？

FMVNB50GJ · Answer

ネットで調べたら出たが。
http://jp.trendmicro.com/jp/threat/extermination_tool/downad/

システム深くまで侵入するらしいのでネットでよく調べたほうが良いんじゃないの。

会社だからきちんとサポートを受けるとか。

「一斉感染後５回同じ日の同じ時刻にこの５台だけが感染します。」
それって活動するときじゃないの。

でも、感染原因がわからないようだし、更新プログラムの適用の類は、マイクロソフト以外のいろいろなソフトもあるからきちんと確認したほうがいいんじゃないか。Adobeのソフトとか。

読み流し程度で。

WORM_DOWNAD.ADが社内にしょちゅう進入してきます

お疲れ様です。

他の回答者さんも言われているように、どこかに感染したファイルが残っていたりする可能性があります。

私は詳しい人ではありませんので参考程度でお願いします。

ネットで調べたら出たが。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング