トロイの木馬とネットワーク影響

20台ほどのPCを有線LANケーブルでつなぎ、ネットワークを構築し、その管理をしている者です。
一台のPCをサーバーとして、そのPC内に作ったファイルを共有し、他のPCで作業をするという形態をとっていたのですが、先日、突如他のPCからサーバーPCへ接続ができなくなりました。
ハード、設定ともに問題はありません。しかし、原因を探っていたところ、サーバーPCがトロイの木馬に感染していたことがわかり、即刻Microsoft Security Essentialをダウンロードし、木馬を削除しましたが、他のPCからは依然接続できません。
ちなみに、サーバーPCにはNortonを入れておりましたが、気付ば起動ができず、木馬に感染していた、という状態でした。
今回の接続ができなくなったことは、トロイの木馬が原因だったのでしょうか？また、復旧するにはどうすればいいでしょうか？
このネットワークで扱っていた情報は、個人情報や、機密情報が多く、漏えいすると大変困ります。木馬に感染していた時点で覚悟はしておりますが、実際の被害を確かめる方法などもありましたら、ご教授ください。

トロイの木馬の型
Trojan Dropper : Win 32/ Rotbrow.D
Trojan Downoader : win 32 / Brantall.C

なにとぞよろしくお願いします。

No.4 回答者： smart_protector 回答日時： 2013/10/31 12:27

こんにちは。

私はネットワーク管理者でもなんでもない一般のPCユーザーですが、ネットワークが不通になったときはまず現状どうなってるか調べません？　私ならパケットキャプチャソフト走らせて調べます。DHCPのシーケンスだって見れますから。

同じPC内で複数のアンチウイルスソフトをインストールしてはいけません。偶然うまく動いたとしても。非常にリスキーです。


で、

http://www.microsoft.com/security/portal/threat/ …


これを見てみますと、 win 32 / Brantall.Cはしばしば Win 32/ Rotbrow.Dをインストールすると書かれています。関連性があるようです。


私が思うに、どなたかがネットワーク上から上記URLの最初に書かれてるプログラムを間違ってインストールした、あるいはドライブ・バイ・ダウンロードによって送り込まれた。どっちかだと推測いたします。

一般的にDownloaderというのは、外部のサイトから目的とするプログラムをDLして実行するものを言います。一方、Dropperというのは目的とするプログラムを内部に隠し持っていて、その内包されたプログラムを吐き出して実行するものを言います。

で、慎重に対処するにはディジタルフォレンジクス関連の会社に頼んだほうがいいですね。

MSのフォーラムで投稿してアドバイス受けてみるのも手です。

No.3 回答者： kimamaoyaji 回答日時： 2013/10/31 06:24

トロイの木馬は感染しただけでは、発動しません、ある特定のイベントを持って発動します、感染状態ならセキュリティソフトで削除が可能ですが、発動した場合は、システムの中枢に食い込むので、Windowsシステムが、自分の中枢を削除するなんて事は不可能ですから、トロイの木馬の５０％は削除不可能と差r手います。

ですから通常は感染を防止するためにセキュリティソフトを常駐させるわけですが、事が起きてから、祖間もそれほど協力で無い無料のMSエッセンシャルでは、まず対応不可能でしょうし、状況からして、サーバーのHDDを新品にしてOSを入れ直し、有料の信頼性の高いセキュリティソフトを導入してから、感染したHDDを外付けで接続して、データーの救出を行うと言う方法が一番安全です、当然ですが感染しているファイルは、削除され失う事になります。
本来サーバーなら、お金をかけて十分なプロテクトを行うのが常識ですが、即刻Microsoft Security Essentialをダウンロードしって、その時点でもセキュリティレベルがあまり高くない無料ソフトを使う事態信じられません、おそらくは、まだ発見されないウイルス等が残っているのでしょう。
Trojan Dropper : Win 32/ Rotbrow.D　バックドアウイルス（外部の第三者によりコントロール可能にする）
Trojan Downoader : win 32 / Brantall.C　次々と形態を変えウイルスをダウンロードする物の様です、細かな明細は記されていませんが、システムに食い込むのは確かなようですので、強引に取り除いた場合はシステム障害、取り除かない場合は、外部の第三者にサーバー内部を公開する様な物です（ファイル共有と同じ状態でしょう）。
安全性を考えれば、HDDを新規にして、システムを新しくした方が良いと思います。

No.2 回答者： te2kun 回答日時： 2013/10/31 05:44

ウイルスの感染により何がされたのか分からないのであれば、現状どれが原因とは断言出来ないでしょう

それらを調査してくれる業者に依頼して調査してもらってください
被害も同様に調査してもらってください。
あと、感染経路も検討をつけてて、対策を行って下さい

LANに接続出来ないなら、デバイスマネージャーで正常に認識しているのかを確認して下さい

No.1 回答者： nerimaok 回答日時： 2013/10/31 05:11

素人(ここにこういう質問を出しているという事で「プロ」ではない)が

いろいろと考えても無駄でしょう。

流出の有無などはLACなどの専門の業者に委託して調査してもらうしかありません。
(ただし、こういう業者もウイルスの内容についてはやはり素人ですので
そこはまた別の業者に下請けに出す事になります)


感染が有った後でセキュリティツール入れても完全な駆除は出来ないと
思ってください。
素直にデータはパックアップさせて全部新規インストールするくらいの
覚悟でないと後で何が起きるかわかりません。