ウィルスTrojan.gen.2への対処法を！

NortonInternetSecurity2010のウィルススキャナでTrojan.gen.2が2つ検出されました。書類のバックアップをとり、パソコンを初期化しました。以下の2点をご教示ください。

１）このTrojan.gen.2に関するNortonの報告をみると、「削除されました」とありますが、もう心配はないと考えて差し支えないでしょうか？　というのも、Nortonのセキュリティ履歴を見ると、以下の活動が報告されていて、Trojan.gen.2と関連がないか懸念があるからです。

●重大度／活動／日時／状態／推奨する処理

◇ウィルスにかかったと思われる時間帯の報告
●情報／ユーザーがログインしました／（略）／検出しました／対応の必要はありません
●中／権限がないアクセスを遮断しました（オブジェクトの複製）／（略　上と同時刻）／遮断しました／対応の必要はありません
（「権限がないアクセスを遮断しました（オブジェクトの複製）」の詳細によれば、「処理側」は「C:\WINDOWS\SYSTEM32\SERVICES.EXE」）

◇ウィルス検疫後、初期化前にインターネットにアクセスした時間帯の報告
●中／権限がないアクセスを遮断しました（オブジェクトの複製）／（略）／遮断しました／対応の必要はありません
→1分間で11回
（詳細によれば、どれも「処理側」は「C:\PROGRAM FILES\SOFTEX\OMNIPASS\SCUREAPP.EXE」）
●高／このコンピュータは安全でない無線ネットワークに接続しています（0.0.0.0/0.0.0.0)／（略）／検出しました／対応の必要はありません
→1分間で2回

◇初期化後
●情報／ユーザーがログインしました／（略）／検出しました／対応の必要はありません
●中／権限がないアクセスを遮断しました（オブジェクトの複製）／（略　上と同時刻）／遮断しました／対応の必要はありません
（「権限がないアクセスを遮断しました（オブジェクトの複製）」の詳細によれば、「処理側」は「C:\WINDOWS\SYSTEM32\CTFMON.EXE」）

セキュリティ履歴は、見方が分からない部分が多く、どれも怪しく見えてしまいます。どの事例もNortonに任せておけば、そう心配しなくてもよいものなのでしょうか？

２）Trojan.gen.2が検出された場所がメールソフトThunderbirdのprofilesファイル内のmailフォルダの中からでした（\mail\local folders\inbox）。ウィルス検出・検疫後にバックアップを取ったものを初期化したパソコンで再度使用しても大丈夫でしょうか？

システム：WindowsXP

発覚経緯：検索であがったサイトにアクセスしたところ、"Your computer is hacked"という文が現れ、すぐにインターネットを切断し、ウィルススキャナをしたところ、約2時間後にTrojan.gen.2が検出されました。

現状：初期化を終えた段階で、NortonInternetSecurity2010以外はアプリケーションソフトの再インストールはしておらず、この質問を作成するためにとっておいたメモの記してあるテキスト書類3つを除き、バックアップ書類のコピーも行っていません。

その他、対処しておいたほうがよい事柄や点検項目等ありましたら、それらもご教示ください。

よろしくお願いいたします。

No.1 ベストアンサー 回答者： aero1 回答日時： 2011/08/25 12:38

＞このTrojan.gen.2に関するNortonの報告をみると、「削除されました」とありますが、もう心配はないと考えて差し支えないでしょうか？　

Nortonが検出して、駆除したとおもいますのでその時点で問題はないと思います。
この検出は、サイト閲覧中に検出されたのでしょうか・・？
そうだとするなら、感染をブロックした旨のメッセージだった可能性が高い様にも思えます。


＞Nortonのセキュリティ履歴を見ると、以下の活動が報告されていて

この後に書かれている事は、ファイアーウォールのログですよね？
ご自身がアクセスしたのと、常駐しているソフトやWindowsの機能がネットにアクセスしたのだと思いますが・・。
（ウィルスとは関係がない）



＞ウィルス検出・検疫後にバックアップを取ったものを初期化したパソコンで再度使用しても大丈夫でしょうか？

パソコンは、リカバリをして素のクリーンな状態でしょうからとりあえず、最新版までアップデートを行ってください。

「Microsoft Update 利用の手順」
http://www.microsoft.com/ja-jp/security/pc-secur …

「その他プログラムのアップデート」
https://www.ccc.go.jp/flow/04/410.html
あとは、メールソフトやブラウザにアドオンされているソフトや常駐している様なソフトも含めて、全てメーカーサイトで最新版がないかを確認して最新にアップデートしておいてください。


「Trojan.Gen.2 テクニカルノート | Symantec」
http://www.symantec.com/ja/jp/security_response/ …
今回、感染した物がトロイの木馬系ですから、基本的にはファイルに寄生したり自己増殖はしないタイプだと思います。
ですが、念の為にパソコンに戻す前にそのファイル等のデータを、ウィルススキャンしてみてください。
そこで、感染がなければパソコンに戻しても問題ないと思います。



＞対処しておいたほうがよい事柄や点検項目等ありましたら

上記しましたが、OSだけじゃなく利用しているインストールしてあるソフトにもアップデートがあることが多いので、その辺のアップデートも怠りなくしておくことと、セキュリティ対策ソフトも問題がなければ最新版を使用していた方が安心だと思います。

「ノートン アップデート センター」
http://updatecenter.norton.com/?NUCLANG=ja-JP

参考URL：https://www.ccc.go.jp/flow/03/340.html

この回答へのお礼

aero1さん、はじめまして。ご回答、ありがとうございます。

>Nortonが検出して、駆除したとおもいますのでその時点で問題はないと思います。
>この検出は、サイト閲覧中に検出されたのでしょうか・・？
>そうだとするなら、感染をブロックした旨のメッセージだった可能性が高い様にも思えます。


残念ながら、サイト閲覧中の検出ではありません。

あるサイトに接続し、そのサイト内で別のページに移った時に、"Your computer is hacked"という文が現れました。その時点ですぐにインターネットを切断し、ウィルススキャンをかけたところ、Trojan.gen.2検出の報告があがりました（厳密に言えば、Trojan.gen.2は、今回閲覧したサイトとは別の原因によるものかもしれませんが、１週間ほど前にウィルススキャンをしたときには報告されませんでしたし、他には心当たりがありません）。

"Your computer is hacked"の一文を確認してから、ウィルススキャンでTrojan.gen.2が検出されるまで約２時間を要したので、その間、コンピュータ内でどのような活動が行われたのか正直、不安です。

質問欄に書きましたように、ウィルス検疫後に「このコンピュータは安全でない無線ネットワークに接続しています（0.0.0.0/0.0.0.0)」という報告が出てきているだけに、完全に感染をブロックしてくれたと判断してよいのか、不安が残ります。

Microsoft Update、およびNortonのアップデートは行ないました。アプリケーションソフトは今後、インストール後、アップデートするようにいたします。

>ですが、念の為にパソコンに戻す前にそのファイル等のデータを、ウィルススキャンしてみてください。
>そこで、感染がなければパソコンに戻しても問題ないと思います。

バックアップ先のポータブルHD全体もウィルススキャンし、問題はありませんでした。ただ、ウィルススキャンで検出されないように偽装して潜んでいるのでは（特に発覚したメールソフトのバックアップデータのどこかに）、Nortonでも検出・検疫しきれていないものがどこかに残っているのでは、と疑心暗鬼の状態にあります。

閲覧したサイトが検索上位に登場し、一見、まったく有害そうなサイトではないように偽装されたものだっただけに、ショックな体験となりました。

それにしても、パソコンに攻撃を加えたいのであれば、なぜわざわざ"Your computer is hacked"などと相手に気づかせるような警告を与えるんでしょうかね？

いずれにしましても、分かりやすい丁寧な説明をいただき、ありがとうございました。また、参考URLもとても役に立ちます。試みてみたいと思います。

お礼日時：2011/08/26 01:27

No.3 回答者： aero1 回答日時： 2011/08/29 13:48

>確かに無線LANを使用していますが、暗号強度はそれなりにあるはずです

確実に、設定が行われていればそれでいいのですが、WEPでしたら大した安全性はないのでWPAかWPA2（AES）で接続して、許可した機器しか接続できない様にMACアドレスフィルタリングも併用すると良いかもしれません。



>Trojan.gen.2のパソコンへの進入と関わっているのは、"Your computer is hacked"のサイト閲覧と「安全でない無線ネットワークへの接続」のいったいどちらなのでしょうか？

サイトの閲覧時に侵入したとすると、その時点でソフトが反応すると思うのと・・
「安全でない無線ネットワークへの接続」は、特定のサイト（WAN・ネット上）への接続を試みていない事から考えて、こちらも違うのではないでしょうか。

あくまでもLANへの接続ですから、パソコンの置かれた場所から半径数十メートル以内にある無線アクセスポイントに接続を試みた時のログではないですか？
暗号化されていない、設定とは違う他人の無防備なLANへの接続に警告を出したのでは・・。
（暗号化されていないので、安全でないネットワークとなるのでは・・）
パソコンは、自動的に接続できるアクセスポイントを探して接続を試みますので。
（表示の正確な意味は、メーカーサポートで聞くとハッキリすると思います）

検出された場所が、Thunderbird関連となればやはりメールだと思います。
添付されたファイルに紛れ込んでいたか、HTML形式のメールが原因だったと思いますが・・。




＞初期化したパソコンに元の書類を戻して使用して果たして大丈夫なのでしょうか？
＞Nortonの目をかいくぐって潜んでいる可能性はないでしょうか？

完璧なソフトはありませんので、例えば他のソフトでスキャンもしてみると良いかもしれません。
オンラインスキャンで、調べることも可能な場合があるので使ってみてはどうでしょうか。

はじめのレスにも書きましたが、シマンテックの説明自体が「Trojan.Gen.2 は、特定の定義が作成されていない各種のトロイの木馬を検出するために使用される汎用検出名」や「危険度 1: ほとんど影響なし」となっている事と、トロイの木馬という種類は他のファイルに寄生したり増殖はしないと思いますので、恐ろしいほどの物ではないと思うのですが。


「電子メールを介した攻撃からの保護 : Security Response」
http://jp.norton.com/security_response/secureema …

「Webを介した攻撃からの保護 : Security Response」
http://jp.norton.com/security_response/browseweb …
今後の対策を考えて、大切なデータは外部に保存するとかより一層強化した対策を実行した方が良いかも。

この回答へのお礼

aero1さん、こんにちは。すぐにお返事できず、すみません。

>暗号化されていない、設定とは違う他人の無防備なLANへの接続に警告を出したのでは・・。

無線LANの使用を開始して以来、これまで出たことのない警告だったので、ウィルスの活動結果かと思いましたが、因果関係ははっきりしませんね。

>（表示の正確な意味は、メーカーサポートで聞くとハッキリすると思います）

昨日、今日と問い合わせることがきませんでしたが、そうしたいと思います。無線LANの暗号強度も再設定するときに、確認したいと思います。

>オンラインスキャンで、調べることも可能な場合があるので使ってみてはどうでしょうか。

回答No.1にて教えていただいたサイトを通して、試みてみましたが、幸い、何も検出されませんでした。

いずれにせよ、"Your computer is hacked"のサイト閲覧と、メールソフトのフォルダから見つかったTrojan.Gen.2 は、別物の可能性があるわけですね。頭はやや明瞭になりましたが、同時期なだけに何とも紛らわしいことです。

"Your computer is hacked"のサイト閲覧によるパソコンへの影響に関しては、Nortonのウィルススキャンにおいて、「安全でない無線ネットワークへの接続」と「権限がないアクセスの遮断（オブジェクトの複製）」以外に、特に怪しい報告がなされておりません。このどちらかがそうなのか、あるいは検出されなかった別の活動があったのか、はたまた単なる「愉快犯」なのか、結局この点は分かりませんね。少なくともこれはパソコンの初期化でクリアされたとみなすことにします。

一方、Trojan.Gen.2は、見つかるのが（添付メールとして送付されてから時間の経過した）ウィルススキャン時だったにせよ、検疫が済んだのでよしとします。aero1さんのおっしゃるように、それほど恐ろしいものではないようですし。

検出されたTrojan.gen.2が、私のパソコン内で一体何をやらかしたのかは知りたいところで、ややもやもや感も残りますが、それは分からないのでしょうね。

いずれにせよ、長くお付き合いいただきまして、本当にありがとうございました。教えていただいた諸々のサイトも、とても勉強になりました。

お礼日時：2011/08/31 01:18

No.2 回答者： aero1 回答日時： 2011/08/26 11:00

＞１週間ほど前にウィルススキャンをしたときには報告されませんでしたし、他には心当たりがありません）

そのサイトも関連があるかもしれませんが、後で行ったスキャンで反応したのであれば閲覧中でも反応しそうな気もするのですが・・
質問文にある、検出場所がメールソフト関係ですから受信したメールなのかもしれませんね。

「Thunderbird サポート - 使い方ガイド - プライバシーとセキュリティ」
http://mozilla.jp/thunderbird/support/tutorials/ …
プロバイダメールや、フリーメールでも添付ファイルはウィルススキャンしてくれる事が多いので、そこからの感染は低い様にも思えますがメールの形式が「HTML形式」でした、要注意かもしれません。
信頼できない相手からのHTML形式メールは注意した方がいいと思います。


＞質問欄に書きましたように、ウィルス検疫後に「このコンピュータは安全でない無線ネットワークに接続しています

これは、ネット上（WAN）の接続ではなくLANの事だと思いますので、ご自宅等の接続設定を見直してください。
例えば、もしご自宅が無線LANで接続できるようになっているとしたら、「WPA2-PSK（AES ）」の様な強度のある暗号化で接続できるようになっていますか？
もしくは、近所の無防備なLANに接続してしまってはいないでしょうか。　ご自宅等が、優先先になっているかを確認してください。

「無線LANの安全な使い方」
http://www.so-net.ne.jp/security/pc/w_lan.html




＞閲覧したサイトが検索上位に登場し、一見、まったく有害そうなサイトではないように偽装されたものだっただけに、ショックな体験となりました。
＞それにしても、パソコンに攻撃を加えたいのであれば、なぜわざわざ"Your computer is hacked"などと相手に気づかせるような警告を与えるんでしょうかね？

こちらに関しては、サイト側に脆弱性があり改ざんされてしまっていた可能性があるかもしれません。
もちろん、改ざんされたサイトを閲覧すると閲覧した方も感染する可能性がありますが・・。

OSとブラウザを最新にして、アドオン等も最新にしておくこととセキュリティ対策ソフトも利用していたら、高い確率で防げるとは思うのですが・・。

「Gumblar対策」
http://www.itmedia.co.jp/news/articles/1001/08/n …
以前流行った、Gumblarウィルスの類であったのかもしれません。
あと、単純に誤検出という事も完全に否定はできませんし・・。

この回答へのお礼

aero1さん、度々のご回答、ありがとうございます。パソコンの状態を確認するのに時間がかかり、お礼が遅れてしまいました。申し訳ありませんが、もう少しお付き合いいただけますと幸いです。今回も長文になってしまいました。すみません。

>後で行ったスキャンで反応したのであれば閲覧中でも反応しそうな気もするのですが・・
>質問文にある、検出場所がメールソフト関係ですから受信したメールなのかもしれませんね。

そうなのです。ウィルスが進入してからスキャンで発覚するまでタイムラグがあるので、心配なのです。ウィルススキャンを実行している間は、パソコンはインターネットには接続していませんでしたし、ほかの作業も一切しておらず、メール受信はしていません。また、その時間帯にはそもそもメールはなかった模様です。もちろん、それ以前に受信したメールにTrojan.gen.2が紛れていて、このスキャン時に削除された可能性はあるかもしれませんが、今となっては確認できません。少なくとも正体不明のメールは、このところ特に受け取っていません。

>＞質問欄に書きましたように、ウィルス検疫後に「このコンピュータは安全でない無線ネットワークに接続しています
>
>これは、ネット上（WAN）の接続ではなくLANの事だと思いますので、ご自宅等の接続設定を見直してください。

いいえ、違うと思います。確かに無線LANを使用していますが、暗号強度はそれなりにあるはずです。そして、履歴をさかのぼって確認しましたが、無線LAN接続の記録はNortonのセキュリティ履歴には特に記録されないようです。

また、この「安全でない無線ネットワークへの接続」は、重大度「高」で報告されていますので、看過できるものではありません。

ただし、今回初めて分かったのですが、この「安全でない無線ネットワークへの接続」は、Trojan.gen.2ウィルス検疫後の連続する２回だけでなく、その８時間前にも１度記録されていました。この８時間前というのは、"Your computer is hacked"という文が現れたサイトを閲覧するよりも以前です。

つまり、"Your computer is hacked"のサイト閲覧と「安全でない無線ネットワークへの接続」は、因果関係がないといえるかもしれません。そうすると、Trojan.gen.2のパソコンへの進入と関わっているのは、"Your computer is hacked"のサイト閲覧と「安全でない無線ネットワークへの接続」のいったいどちらなのでしょうか？？　まったく分からなくなってしまいました。

>＞それにしても、パソコンに攻撃を加えたいのであれば、なぜわざわざ"Your computer is hacked"などと相手に気づかせるような警告を与えるんでしょうかね？
>
>こちらに関しては、サイト側に脆弱性があり改ざんされてしまっていた可能性があるかもしれません。

閲覧したサイトは、開いて初めて気づいたのですが、明らかに公式サイトを模した偽造サイトでした。第３者に改竄されたものではないと思われます。

>OSとブラウザを最新にして、アドオン等も最新にしておくこととセキュリティ対策ソフトも利用していたら、高い確率で防げるとは思うのですが・・。

セキュリティ対策は、きちんとしていたつもりです。それなのに、「システムの完全スキャン」で発覚し、もしかしたら数時間、ウィルスがパソコン内外で活動していたかと思うと、本当に怖いです。

書き忘れていましたが、Trojan.gen.2検出の報告は次のように記載されています。

●重大度／活動／日時／状態／推奨する処理／カテゴリ
●高／Trojan.gen.2がウイルススキャナによって検出されました／検疫済み／（略）／対応の必要はありません／ファイアウォール-活動

今、知りたいことは以下の点です。

パソコンに進入してから検出・検疫されるまでに、Trojan.gen.2が何らかの活動をしていた可能性がある以上、上記の報告「検疫済み」、「対応の必要はありません」を額面どおり受け取って、初期化したパソコンに元の書類を戻して使用して果たして大丈夫なのでしょうか？　何らかの活動を通して、Nortonの目をかいくぐって潜んでいる可能性はないでしょうか？　現在、初期化したパソコンも、バックアップ書類一式も、Nortonのウィルススキャンで異常なしと出ています。この「異常なし」を信じてよいものでしょうか？

aero1さんが最後にお書きになっているように「誤検出」と思いたいところですが、根が疑い深く、決して楽観主義者ではないので、そうは思えません（苦笑）。

お礼日時：2011/08/29 01:39