トロイの木馬

Question

会社の中に閉ざされたネットワークのパソコン群があります。
それらはインターネットといった外部のネットワークとは遮断されており、有線LANにて専用のプリンターと接続されています。
インターネットに接続されていないために、WindowsUPDATEは全く行われていません。
常駐のセキュリティソフトもインストールされていません。
OSはXPですが、インターネットに接続されていないので、会社では四月以降も継続して使用する予定です。

ClamWin portableでスキャンしてみたところトロイの木馬に感染していました。
感染したファイルの削除には成功しましたが、どこから感染したのでしょう。
これらのパソコンはUSBメモリを使って外部とデータ交換をしています。
閉ざされたネットワークですからトロイの木馬に感染していようとも、活動しようがないとも思います。

USBメモリからトロイの木馬は感染し、悪さをするものなのでしょうか。

、

vellum#1 · Accepted Answer

Trojan.chiton で検索すると少し情報でますね。

どうもＡｄｏｂｅ Ｒｅａｄｅｒ関係で検出されてるようですが
Ｃｌａｍ による検出が多いようなので
ある意味 誤検出も考えられそうではないですか？

とりあえず他のスキャンソフトで
逆に それ以外のの感染が無いか？を確認するべきと思いますけどね。

あとは 検出されたファイル自体を
ネットに繋げれるＰＣへもっていき
ＶｉｒｕｓＴｏｔａｌで検査してみるのもよいかと。

ＶｉｒｕｓＴｏｔａｌのスキャン結果で
ＣｌａｍＡＶ のみで検出してる 結果が出てたりました。
これだけで検出して＝ウイルスである とは思えないですね。

vellum#1 · Answer

＞閉ざされたネットワークですからトロイの木馬に感染していようとも、活動しようがない

考え方を 改めないと。。。

USB経由のウイルスは そのPC内では 悪さをしない可能性もあるし。

逆に 感染したあなたのPCから 別のPCへ挿したときに
活動を始める可能性だって ありえます。

にしても Clam ですよね。
その検出名は なんですか？

単独でスキャンを行うなら
EmsisoftEmergencyKit （Update してからコピー移動するだけ）

それか
9-lab Removal Tool がオススメですね。
これは データベースファイルが
Win7の場合は Appdata内 （XPだとLocalSetting内かな？）
9-labというフォルダが作られるので 
Update後に このフォルダを その場所に置くだけ。
本体は そのままコピーし スキャンを行える。
ＦｕｌｌとＦｌａｓｈ スキャンというのを行う。

オフラインで使用するにしても
他のPCから やりとりするのなら
最低でも USBを挿したときにスキャンを行える物と
渡したデータ自体を スキャンするソフトは必要でしょう。

advanced_sense · Answer

>セキュリティソフトで管理されているパソコンの下で使われているUSBメモリだから安心だと思って使っていたのが。この結果を招いていると思います。

はい、その通りです。

以下に周辺機器メーカーで有名なバッファローでの実例が載ってます。真ん中より下のほう。

http://www.nhk.or.jp/gendai/kiroku/detail02_3221_all.html

あと、参考資料

https://www.ipa.go.jp/security/announce/winxp_eos.html

念のため言っておきますけど、いわゆるアンチウイルスで検出できるマルウェアなんてごく一部ですよ。スキャンで「検出：0」だったとしても、あくまでそのアンチウイルスで検出できるものは無かったというだけの話です。今現在世界中に存在するマルウェアすべてを検出できるアンチウイルスなどあり得ませんから。

それと、マルウェア作成サイドでは当然アンチウイルスの存在は計算に入っています。アンチウイルでの検出を回避できる難読化の性能非常に上がっています。ここの他の回答者なんかは知らないと思いますけど。

ninoue · Answer

他の方の回答のように外部ネットワークに繋がなくてもUSBメモリからウイルスは侵入します。
安全の為にはXPにも最新版のアップデートを適用し、アンチウイルスソフトも導入する事が必要です。

次等を参照下さい。

http://www.microsoft.com/ja-jp/windows/products/windowsxp/sp3/default.aspx
==>
http://www.microsoft.com/ja-jp/download/details.aspx?id=25129
Windows XP Service Pack 3 - ISO-9660 CD イメージ ファイル 
   公開日:2008/05/06　　(32bit=x86, 64bit=x64版の別は確認下さい)

http://answers.microsoft.com/ja-jp/windows/forum/windows_xp-windows_update/windows/a11aadc6-532e-497f-9019-f9f8795de8ed
Windows Updateをクローズド環境で実施する方法

http://www.forest.impress.co.jp/library/software/wsusoffline/
WSUS Offline Update
Windows/Officeのオフラインアップデートディスクを作成

アンチウイルスソフトの例
http://www.forest.impress.co.jp/library/software/avast/

但しフリーなのは個人使用に限定されています。
有料版を導入して下さい。
オフラインアップデートが可能だと思いますが、問い合わせて下さい。

XP-OSだけではなく、ブラウザやOfficeソフト、ブラウザ、Java等もアップデートが必要です。

lookwave · Answer

新種の亜種とか枝分かれしてるからどれがどれなのか不明です。とにかく新種の爆走タイプは行くところまで逝って停止するから大変危険ですね。最低限の対策は行いましょう。

tarepanda009 · Answer

以前イランの核施設を不能状態にしたウイルスがありましたね。あれはUSBメモリからの感染だといわれています。
http://blog.goo.ne.jp/pineapplehank/e/e38c1546b3de4ee020cf8d561637a834

ihsustujik · Answer

どこからって…USBメモリを使って外部とデータ交換なんかしるんだから、そこから感染し放題でしょう。

トロイの木馬に限らず、ウィルスはまず広まってターゲットにしたいもののところにたどり着かなければ何にもなりません。
また、ウィルスの活動内容はさまざまで、たまたま今回のウィルスはファイルやシステムの破壊をせず、情報を抜き取るとしてもネットワークがなければ動けないタイプだったので、閉鎖ネットワークでは被害が出なかったのでしょう。

特定のテロに対抗するため、核物質の精製に使う遠心分離器が暴走するよう仕組んだウィルスが某国に向けて使用された例もありますよ。
まあ、こんなカスタムメイドで特定の相手しか狙わないものはウィルス対策ソフトでは検知できないでしょうがね。

閉鎖ネットワークだからと油断するのは危険です。
面倒臭いですが、セキュリティ面からいえば「外部からの媒体はすべてウィルスチェックしないと接続不許可」が原則でしょう。もちろんウィルスチェックをするにはオンライン環境で行う必要がありますので、被害が出ない（他の業務に影響が出ない）ウィルスチェック用の端末が欲しいところですが。

トロイの木馬

Trojan.chiton で検索すると少し情報でますね。

＞閉ざされたネットワークですからトロイの木馬に感染していようとも、活動しようがない

この回答への補足

>セキュリティソフトで管理されているパソコンの下で使われているUSBメモリだから安心だと思って使っていたのが。

この回答への補足

他の方の回答のように外部ネットワークに繋がなくてもUSBメモリからウイルスは侵入します。

新種の亜種とか枝分かれしてるからどれがどれなのか不明です。

以前イランの核施設を不能状態にしたウイルスがありましたね。

どこからって…USBメモリを使って外部とデータ交換なんかしるんだから、そこから感染し放題でしょう。

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング