バックドアに感染？

バックドアの対策について教えて下さい。
私はアンチウイルスソフトとして、Microsoft Security Essentials（MSE）を使っているのですが、本日、MSEを開いたところ、「履歴」タブに２つのバックドアが検疫されていることが分かりました。
（検疫：実行しないように指定されたが、PCから削除されていない項目）

MSEは常時監視モードにしているのですが、今回手動で開く前には一切アラーム等は発生しませんでした。

検疫されていたファイルは外部からダウンロードしたソフト名が記されていたので、そのソフトから感染したものと思われます。

バックドアであることは確認したのですが、ビックリしたものですから、直ぐに検疫されたファイルを削除してしまい、バックドアの種類は記憶しておりません。
その後、バックドアの恐ろしさをネット検索で知り、当該パソコンはネットから切り離しました。
（今は別のパソコンから質問を書いております）
しかし、誤検出の場合も結構ある、という情報もあり、何をどこまで対策していいのか分からない状態です。

そこで、質問なのですが、MSEで検疫状態になっていても、やはりバックドアに感染したものとして考えるべきなのでしょうか？また、バックドアの種類や各種情報を確認したいと思っているのですが、MSEに過去に削除したウイルス等を検索する機能はあるのでしょうか。
（ネットで調べたのですが、情報が見つかりませんでした）
特に、前者の質問（検疫状態と感染の関連）について知りたいと思います。

その他、何かしら参考となる情報がありましたら、ぜひ教えて下さい。

よろしくお願い致します。

No.6 ベストアンサー 回答者： nekobox 回答日時： 2012/11/10 00:05

nekoboxです。

処理済ですから特にすることないです。

あとは先に私が示した「基本重要対策」守るように。MSEのような単体アンチマルウェアだけじゃ乗り切るの厳しいです。



---------
FEX2053が追加返答しなかったらとんだ知ったかってことになるよねｗ。こりゃ見物だわｗ。

この回答への補足

質問を上げておくつもりでしたが、これ以上不安を抱えているもの考えものですので、ここで本質問を閉じさせて頂きます。今回はどうもありがとうございました。

補足日時：2012/11/10 16:14

この回答へのお礼

回答頂き、ありがとうございます。
パソコン暦は長いのですが、実際にウイルス（マルウェア）に遭遇するのが初めてで（今までが運が良かった？）必要以上に怖がっているようですね。
nekoboxさんのお陰で随分と安心しましたが、この機会に他にも情報を頂ける方がいることを期待しまして、もう少しこの質問を開けておきたいと思います。

お礼日時：2012/11/10 15:12

No.5 回答者： nekobox 回答日時： 2012/11/08 14:59

>もともと、セキュリティホールなんてバックドアが作っているものだから、

本体を削除してしまえば、問題ない

はい、その通りです。

ただ、本来セキュリティーホールと言ったら一般的にはOSやアプリケーションソフトのプログラムにおけるセキュリティー上の欠陥を意味します。拡大解釈でバックドアによる侵入口もセキュリティーホールと言えばそうかもしれませんが、第一義的にはプログラムにおけるセキュリティー上の欠陥を意味します。

ちなみに、バックドアというのはクラッカーがセットするその名の通り裏口ですが、裏口と言ったって当然ながら物理的に通用口を設けるとかではなく、ネットワーク通信におけるコネクションの確保ですよね。コネクションというのは仮想通信経路です。

で、最近のバックドアによるコントロールでは実はクラッカー側からターゲットマシン(感染マシン)に接続しに行くわけではないんです。こうした順方向接続ではルータなどで弾かれてしまう可能性が高いからです。そこで、ターゲットマシンからクラッカーサイドのマシンに接続しにいくリバース接続を行うのが一般的になっています。これですと、ターゲットマシン側から見るとアウトバウンド通信になるのでルータを容易に通過できます。一般的にルータではアウトバウンドは素通しがほとんどです。

それと、私が先に示したURL先の内容は読めばわかります。


---------
ちなみに、#4さんは今回の事案がステルス(Rootkit)絡みだと何故判断できたのでしょうか。不思議です。ルートキットスキャンをスレ主に勧められて何かしら結果が得られたとかならともかくね。Hidden Objectのからくりとかご存知ならどうぞスレ主さんを導いてやって下さいなｗ。

この回答への補足

回答を頂き、ありがとうございます。

イベントビューアーの確認により、検疫されたバックドアは、

Backdoor:Win32/Ursap!rts

という名前であることが分かりました。
ネットで調べてみると、このバックドアは2011/7頃に作られたもので、ネットの記事からはwindows7には元々感染しないのではないか、とも思われました。いい忘れましたが、私のPCはwindows7です。

当該バックドアはwindows7でも感染の可能性はあるでしょうか。また、先に回答を頂いたようなステルス機能についてもこのバックドアに関して情報をお持ちでしたら、ぜひ教えて下さい。

先に大丈夫だ、とのアドバイスを頂きながら、情報漏洩が恐ろしく、未だにPCをネットから外したままにしております。具体的に検疫されたバックドアの名前が分かったことから、このバックドアの影響が例えば、windows7にないなら、より安心してネットに繋げるものと期待しております。

何度もすいませんが、宜しくお願い致します。

補足日時：2012/11/09 04:56

この回答へのお礼

ありがとうございました。

お礼日時：2012/11/10 18:45

No.4 回答者： FEX2053 回答日時： 2012/11/08 10:28

#2さんの言われるように「再セットアップ」は必須では無いです。

ただ、この手のバックドアを仕掛けるプログラムは、確かにOSに
影響は与えずに単独で動作はしますが、ステルス機能があって、
普通に検索して見つかるものじゃないんです。セキュリティソフトの
「駆除」「隔離」が信用できないなら、#2/3さんのような、その手の
「知識」と「スキル」が無いと、簡単には削除できません。

実際、一旦PCに潜り込むと、その手のウイルスは、その後にイン
ストールしたセキュリティソフトでは検索できないような仕掛けを
施しますからね。OSの検索なんぞ、誤魔化すのは当然です。

ということで、「そこまでする必要は無い」事は確かなのですが、
「何も考えず再セットアップするのが、素人には結局速くて確実」
なんです。逆に言えば、再セットアップせずに頑張るには、それ
なりの勉強と調査が必要ですよ・・・ということでもあります。

・・・少なくとも、#2/3さんの挙げたURLは理解できないと（苦笑）

この回答への補足

ステルス機能っていうのはかなり怖いように思いますが、やっと検疫できたバックドアを特定できました。

windowsのイベントビューアーでは、

Backdoor:Win32/Ursap!rts

という名前になっています。このバックドアはご指摘のステルス機能を有しているでしょうか？
ご存知であれば、ぜひ教えて下さい。

補足日時：2012/11/09 04:49

この回答へのお礼

ありがとうございました。

お礼日時：2012/11/10 18:45

No.3 回答者： nekobox 回答日時： 2012/11/07 23:31

すいません、nekoboxです。

あの、私つい最近MSEテストしてて気づいたんですけど、クラッカーはいつも言ってるように対策ソフト対策してくるわけですが、

MSEは下の画像で示す難読化ツールを使った難読化にまったく対抗できないようですね。ちなみに最新verですけど。このツールその筋の世界ではかなり有名なものでして現在でも継続的にアップデートされてるようです。

こういうのは実際に自分でやってみるとわかります。本当に検出されなくなるかどうかね。もちろん、固有名詞はお教えできませんが。



で、私がいつも言ってるように、今はもう単体アンチマルウェアソフトだけではどうにも対抗できないですよ。マルチエンジンのスキャン回避も難しくなくなってますので。



[重要基本対策]

http://www.forest.impress.co.jp/lib/inet/securit …

http://support.microsoft.com/kb/2458544/ja

Microsoft Update

ブロードバンドルータの使用

有力総合対策ソフトの使用(include HIPS or Behavior Blocker)

クリーン状態のシステムバックアップを定期的に取る

JRE(Java Runtime Environmen)をインストールしてたら即刻アンインストール


※
今は脆弱性を放置しておくと、普通にWeb見るだけで感染する可能性あります。←この認識が無いひとはネット使うべきではないと言えるほど重要。

http://itpro.nikkeibp.co.jp/article/COLUMN/20120 …

この回答へのお礼

ありがとうございました。

お礼日時：2012/11/09 04:19

No.2 回答者： nekobox 回答日時： 2012/11/07 22:33

こんにちは。

>MSEで検疫状態になっていても、やはりバックドアに感染したものとして考えるべきなのでしょうか？

いえ、感染はしていません。#1が言うような再セットアップなんて必要ないです。

で、別にバックドアはOSに取り付くわけではありません。単にOS上で動くプログラムです。

あと、↓


http://www.microsoft.com/security/portal/Threat/ …

この回答への補足

ご回答頂き、ありがとうございます。

再セットアップが必要ないという情報は初めて拝見しました。
私が調べた範囲では、仮にバックドアに感染した場合はそれ自体を削除しても、
セキュリティホールが残ってしまい、そこから不正アクセスされてしまうので、
根本対処のためには再セットアップが必要、というものが多いのですが、この
セキュリティホール残置説について、ご見解を頂けると有難いです。
（もともと、セキュリティホールなんてバックドアが作っているものだから、
本体を削除してしまえば、問題ない！等）

もちろん、頂いた情報は参考とするのみであり、具体的な対処は自己責任で実施
致します。

もし、許されるなら上記についてコメントを頂けると幸いです。

補足日時：2012/11/08 01:58

この回答へのお礼

補足への回答を頂き、ありがとうございました。

お礼日時：2012/11/09 04:57

No.1 回答者： FEX2053 回答日時： 2012/11/07 12:13

バックドアを仕掛ける広義のウイルスは世界中に蔓延しており

それが「検疫」されたからと言って、即「感染」ではありません。
多くはセキュリティソフトで弾かれてしまうんです。

また、最近はしばしば「誤検出」もあり、検出されたからと言って
それが「ウイルス」であるかどうかも定かではないですし、最近
の悪質なウイルスは、あなたの情報ではなく、あなたを踏み台
にして、他の「お金がある所」にアクセスするだけ、って場合が
普通で、何かするまでに時間差がある事が多いんです。

MSEは、検出力がそれほど高くないセキュリティソフトですが、
まずは「検疫」されたソフトの種類をチェックし、それがどの程度
問題があるものか確認された方が良いですよ。「バックドアを
仕掛けるウイルスが混ざっている場合がある」だけのことも結構
多いんですから・・・。

ということで、９０％位の確率でそれは「ウイルスが正常に弾か
れた」だけだと思います。

気になるなら、データを退避して再セットアップすれば、最近の
ウイルスはすべて消えてしまいます。下手にＯＳに取り付いて
ＰＣを不調にすると「踏み台」の役目を果たしてくれませんから。

ちなみにMSEの検出ログは、イベントビューワーに残ってた記憶
があるんですが、これ、チェックが大変なんですよね・・・。

この回答へのお礼

回答を頂き、ありがとうございます。
９０％ですか。。。高いような全くダメのような微妙な数字ですね。

ネットを検索しても、ご指摘のように再セットアップを推奨する
書き込みが多いので、いざ、と思っているのですが、再セットアップ
環境を揃えるだけでも困難な状況から躊躇してネットから外しっぱなし
にしている状況です。

本当に困ったものをばら撒くやつらを呪いたいです。。。

なお、No.2さんから再セットアップの不要説を教えて頂きましたが、
これについてもしご見解をお持ちでしたら、教えて頂けると助かります。

今回はどうもありがとうございました。

お礼日時：2012/11/08 01:53