ウイルスワクチンソフト
●オンラインScan
ウイルスバスターOn-Line Scan
--- WEB上から自分のPCをドライブ指定(複数一括指定可)でチェック。 無料
スピードは、やはり自分のPCにインストールしたソフトよりは遅いけど...
●課題〜メールの再Scanツール
--- メール受信時、Virus checkは自動でやるんだけど、まとめてくると、どれかわからなくなる。
で、再チェックしたいんだけど...
→メール題名が表示されるので、それをメモしておく。[02.7.22]
●課題〜ウイルスメールはどこから自分のアドレスを見つけるのか?
Google:E-mail > Free > Directories and Guides
--- http://directory.google.com/Top/Computers/Internet/E-mail/Free/Directories_and_Guides/
でチェックしようとしたが、ワカラン。 課題。[2002.7.22]
独立したPCを使用している場合、あまり心配ないが、自宅でも常時接続している場合、
感染の危険性は一挙に増加する。
●WEBメール
...ポータルサイト(MSN,Yahoo等)の無料メールなどは、サーバー側が処理して
いるのでほぼ問題なし。
●メールクライアント
...普通のメール。 プロバイダー契約は上同様ok。 会社などMail Server
(特にLinux)は検疫してない場合が多い。
しかしウイルス対策ソフトで、例えばNorton AntivirusはOutlook Express等の
メールクライアントを自動チェックできる。
●メールサーバー
...サーバーであろうと、ウイルス対策ソフトが必要。
普通はサーバー用を使用する。
NIMDA等は、ウイルス感染したWEBページから感染する。
IE5.5 SP2, IE6.0が対応ずみ。
●Version確認
> msinfo32 IE 5 5.00.2314.1003 *[2001.10.19]自宅PC
[IE5] Internet Explorer 5.0 のリリースされたバージョンとビルド番号[Microsoft]
●IE update
●参考
マイクロソフト社「ホームユーザー向け セキュリティ対策 早わかりガイド」のページ
●参考
●version確認
> msinfo32 Windows 98 4.10.1998 *[2001.10.19]自宅PC
註) Windows 98 [例] Windows 98 4.10.1998
Windows 98SE [例] Windows 98 Second edition 4.10.2222A
●Windows 98 →SE update方法
CD-ROMしかないでしょう。(450MB)
註)Windows 98 Second Edition アップデート CD[Microsoft]
---Windows 98から - \1050,要ユーザーID (070-) 指定フォーム申し込み; CD=450MB
●Windows 98 →SE updateのメリットがあるのか?
それほど大きな問題はない。 現在のPCに問題がなければ...
註)Windows 98 Second Edition の説明[Microsoft]
●Windows update
[スタート] - [Windows update]
see http://www.medmk.com/tips/system.htm
●参考
Windows 98 および Windows 98 Second Edition のバージョン確認方法[Microsoft]
Windows 98 Second Editonアップグレード インフォメーション[Microsoft]
---1999.10 リリース
マイクロソフト「Windows 98 Second Edition」製品概要を発表[PC Watch]
Windows 98 SEアップグレード情報リンク集[PC Watch]
Windows 98 Second Edition アップデート CD[Microsoft]
---Windows 98から - \1050,要ユーザーID (070-) 指定フォーム申し込み; CD=450MB
Windows 98 Second Edition の説明[Microsoft]
W98:Service Pack 1 README ファイル[Microsoft; 1999.7]
W98: System Update 1 README ファイル[Microsoft]
---Windows 98 Service Pack 1 の CD-ROM に含まれる
Wwindows update[Microsoft]
--- http://windowsupdate.microsoft.com/
「フイッシング」という手法が蔓延するようになったので、メモする。[2004.12.8]
今年は「フィッシング詐欺」の年だったが、手口は巧妙化、ウイルス含有率も高くなって
おり、来年はさらなる警戒が必要だ。
フィッシング詐欺の手口も巧妙化しており、最近ではユーザーがメッセージに記載され
たURLをクリックしなくても、メールを開いただけで自動的にオンラインバンキングに関
する詳細情報を入手できるようになっているという。
●ニュース
今年はフィッシング詐欺激増の年、来年も要警戒[ITMedia 2004.12.7]
NAV News no.81
情報セキュリティ対策実践情報:エンドユーザ・ホームユーザ向けのページ[IPA-SEC]
トータルウィルス対策ソリューション製品
Norton AntiVirus Enterprise Solution
( Norton AntiVirus Corporate Edition7.0/Symantec System Center)
以下の製品を同梱しております。
クライアント
Norton AntiVirus Corporate Edition Version 7.0 for Windows NT Workstation/2000 Professional /Windows 98/95 Clients
Norton AntiVirus for MS-DOS Version 4.0
Norton AntiVirus for Windows3.1 Version 4.0
Norton AntiVirus for Windows NT3.51 Workstation Version 4.0
サーバ
Norton AntiVirus Corporate Edition Version7.0 for Windows NT/2000 Servers
Norton AntiVirus Corporate Edition Version7.0 for NetWare
管理コンソール
Symantec System Center
クライアント製品(単体製品)
Norton AntiVirus for Macintosh Version6.0
サーバ/グループウェア製品
Norton AntiVirus Version.2.0 for Microsoft Exchange
Norton AntiVirus for Lotus Notes/Domino Windows NT Servers
Norton AntiVirus for Lotus Notes/Domino on AIX Version 2.0
Norton AntiVirus for Lotus Notes/Domino for AS/400 Version 2.0
Norton AntiVirus Plus for Tivoli IT Director Version 5.0
ゲートウェイ製品
Norton AntiVirus for FIREWALLS Version 1.0
Norton AntiVirus for INTERNET EMAIL GATEWAYS Version 1.0
Norton AntiVirus for Solaris Gateways
といろいろあるが、SOHO用のサーバー用として、スターターキット(\88,000 /1サーバー 5クライアント)を購入した。
●Norton AntiVirus Enterprise Solution ver.4.5 スターターキット
1サーバー/5クライアント 88,000円
Norton AntiVirus Corporate Edition ver.7.5 Server × 1 ライセンス
Norton AntiVirus Corporate Edition ver.7.5 Clients × 5 ライセンス
Symantec System Center ver.4.5 × 1 ライセンス
註)上記は2001.9.22現在。で現行バージョンは、2001.4発売
株式会社シマンテックエンタープライズ向けNorton AntiVirus製品のラインナップ[2001.2.14]
購入時は、
Norton AntiVirus Corporate Edition ver.7.0 Server × 1 ライセンス
Norton AntiVirus Corporate Edition ver.7.0 Clients × 5 ライセンス
Symantec System Center × 1 ライセンス
(NAV ESの日本語初期バージョンは、1999.12発売)
| ●Norton AntiVirus Corporate Edition ver.7.0 Serverトラブル |
【エラー】
起動時、"スキャンを開始できませんでした。 スキャンエンジンがエラー0x20000058
を返しました" [2001.9.29]
【経緯】
【原因】
【対応】
【参考】
Symantec Technical&support:Norton AntiVirus Corporate Edition
Group Shield[シーイーシー]
---WindowsNT,UNIX全般 7万5000円〜 米Network Associates
強力な管理機能と他製品とのシームレスに連携するグループウェア用ウィルス対策ソフト。
InterScan VirusWall for WindowsNT[トレンドマイクロ]
---WindowsNT S:36万円〜 トレンドマイクロ
インターネットサーバーで,E-Mailの添付ファイル等の転送ファイルを監視し,ウイルスの侵入を防ぐ。
ウイルスバスター コーポレイトエディション[トレンドマイクロ]
---S:WindowsNT,C:MS-DOS,Windows95,Windows98,WindowsNT,Windows2000,C:Windo
ws3.1,NetWare,S:IIS C:3万8000円〜 トレンドマイクロ
企業のためのクライアント向けウイルス対策ソフトウェア。Webベースで全クライアント
を集中管理。5ユーザパックあり。
VirusScan Enterprise 7.0 [日本ネットワークアソシエイツ]
---Win2000/NT4.0/Windows Server 2003/Citrix Metaframe
NetShield[日本ネットワーク アソシエイツ]
---WindowsNT,NetWare4,NetWare5 \要問合せ 日本ネットワーク アソシエイツ
●統合製品(ウイルス・セキュリティ対策)
V3 ウイルスブロック 2005 インターネットセキュリティ[インターチャネル]
---価格\2,980 実売\2,405(\2,474)/発売日2004年10月8日;Windows98/98SE/Me/2000Pro/XP
ウイルス、不正侵入(ハッカーなど)、スパイウェア、迷惑メール、個人情報流出からパ
ソコンを守ります
開発:株式会社アンラボ /発売元:株式会社インターチャネル
本商品がSOFTPLAZA大賞2004秋で表彰; DL版2,600円; 無料試用版30日間
※Amazon.com \2,671で製品版購入[2005.3.16]
●V3 ウイルスブロック2005 インターネットセキュリティ[Ahnlab]
---価格2,980円; Windows 98Se/98/95/Me/NT4.0/2000/XP
V3 VirusBlock(V3 ウイルスブロック)[Ahnlab]
---\4,980; Windows 98Se /98 /95 /Me /NT4.0 /2000/XP
パーソナルファイアーウォール無償
※低価格、高機能ということで、本ソフトを購入[2005.3]。
FAQ-使用中のトラブル
- Q3[V3].V3 VirusBlock をインストールした後、インターネットの速度が遅くなりました。
V3 VirusBlockのインターネット監視機能は仮想プロキシサーバ方式で作動し、ウェブペ
ージに接続時に最初に仮想プロキシサーバでウイルス有無を検査した後、異常がなけれ
ばウェブページをダウンロードするプロセスをとっています。ウイルス検査はすべての
テキストとイメージファイルが対象となりますので一部大容量のイメージファイルは表
示が遅くなる場合があります。またウェブページにより表示される速度が異なることもあります。
※自分のケースでは、完全にInternet接続が不可になってしまった。
Q3. V3 ウイルスブロック 2005 のファイアウォールをオフにする方法
(1) [スタート]-[(すべての)プログラム]-[AhnLab]-[V3 ウイルスブロック 2005 IS]
-[V3 ウイルスブロック 2005 IS] をクリックし、起動します。
(またはタスクバーのV3 パーソナルファイアウォール 2005 トレイアイコン
[モニターに左右の矢印のついたアイコン] を右クリックし、[開く] をクリック )
(2) 左ペインメニューから、[V3 パーソナルファイアウォール 2005] を
クリックし、[基本設定] を表示します。
(3) [ファイアウォールを無効にする] をクリックします。[ファイア
ウォールを無効にすると、不正アクセスを受ける可能性があります]
と表示されたら、[OK] をクリックします。
(4) [基本設定] の [状態:ファイアウォール無効] 表示またはトレイアイコンに
[×] マークがついていたら、操作成功です。
※Internet接続が不可となる問題が本ソフトが原因で発生、
Uninstallすることに。 自動でのUninstallができず、以下のとおり手動削除。
・レジストリ
>REGEDIT
hkey-local-machine
- software
- ahnlab
hkey-current-user
- software
- ahnlab
・実フォルダ
c:\program files\ahnlab
d:\V3VirusBlock
【環境】
1)自宅 IBM Netvista A21(225677J) Windows XP Professional SP2
2)会社 Shop(ワクツーモール)製 PHI-524VC Windows XP Professional SP2
【トラブル】
アンチアイルス&セキュリティソフト「V3 ウイルスブロック2005 IS」(アンラボ製)
を自宅PC&会社PCにインストール数日後にインターネットに接続できなくなる障害が発生。[2005.4.4]
【原因】
「V3 ウイルスブロック 2005 IS 」が原因である理由。
1.会社機で自分の使用する2台目(Windows 98機)は、本ソフトを未インストールで
正常にInternet接続が可能。
2.自宅機2台目(Mac iBook)は、同一回線で、Internet接続可能。
ファイアウォールを無効にするとか、一応努力はしてみたが改善されず。
【調査経緯】
1)「V3VirusBlock2005IS」のアンインストール
a)会社PCは付属のアンインストールプログラムにより、正常にアプリ削除。
Internet接続も回復した。
b)自宅PCは付属のアンインストールプログラムを起動後、英文Message表示後
中止。 regeditによりhkey-local-machine>software>ahnlab
hkey-current-user>software>ahnlabを削除。しかし完全削除不可
アプリ削除に失敗。 依然Internet接続は回復しない。
-(1)再インストールを試みたが、Install Program起動後、「再起動します」
のMessageが出、再起動後はInstall Programは継続しないためInstall不可。
2)アンラボ社サポート宛に問い合わせメール[2005.4.5 13:30]
即日[2005.4.5 20:56]回答が来た。
「2005.04.02.01 version update後、プログラム修正パッチが適用されたため、
V3パーソナルファイアウォール2005のサービスが一時的に終了してしまうためです」
対応策 a)コンピュータを再起動
b)再起動後のネット接続が正常でない場合、V3パーソナルファイアウォール
2005のインストールが正常でないことが原因。
※今回の場合、V3PF2005の再インストールが必要とのこと。
3)自宅PCでのRegistry変更と「V3VirusBlock2005IS」のアンインストール
アンラボ社サポート回答に従い、
a)HKEY_LOCAL_MACHINE->System->CurrentControlSet->Services->AhnNetT
Start値を「1」→「4」に変更
b)http://vbs.ahnlab.co.jp/rmv3is.exe
を予めDLしておき、起動して、アナインストール
↓
めでたく、Internet接続が回復。
4)「V3VirusBlock2005IS」の再インストール
CDから再インストール。 しかし終了間際に「Unknown..,error(520),line(335)」
のメッセージが出現し、インストール失敗。
FAQ9.error(***),line(335)、または 1628:スクリプトベースのインストールを完了できませんでしたと表示される
【対応】
【メモ】
自宅PCは、プロバイダーYahoo BB -(Router) Corega BAR SD 経由の接続
DHCPサーバーによるIP自動取得の設定で、Router=[Lan側]192.168.1.1なので
自宅PC=192.168.1.62 とだったのが、169.254.206.62 となってしまっていた。
eプライスシリーズ ウイルスキラー2005[e-Frontier]
---価格\1,980 実売\1,734(\1,848) 発売2005.2.1;Windows XP/2000Pro/Me/98
[主な機能]アンチウイルス/パーソナルファイアウォール /セキュリティ アナライザ
レジストリ監視 /スパムメールフィルタ /ネットワークブラックリスト
ウイルスセキュリティ+セキュリティアドバイザー2005EX[SOURCENEXT]
---価格\2,980[DL版] 実売\2,461(\2,707) 発売2005.2.2;Windows XP/2000Pro/Me/98
ウイルスセキュリティ2005[SOURCENEXT]
---価格\1,980[DL版] 実売\1,730(\1,855) 発売2004.7.8;Windows XP/2000Pro/Me/98
- [主な機能]ウイルス・スパイウェア対策 /不正侵入対策 /個人情報漏洩対策
迷惑メール・フィッシング対策
セキュリティアドバイザー2005[SOURCENEXT]
---価格\1,980[DL版] 実売\ 発売2005.2.1;Windows XP/2000Pro/Me/98
- ウイルス対策ソフトでは監視できない、Windowsやインターネットの設定などを自動点
検し、その場で安全な状態に修正できるまったく新しいセキュリティソフト
ウイルスバスター2005 インターネット セキュリティ[トレンドマイクロ]
---価格\8,500 実売\4,990(\5,838) 発売2004年10月22日
・個人情報漏えい防止 ・総合ウイルス対策修復 ・不正アクセス防御
・スパイウェア検出/駆除 ・迷惑メール対策 ・無線LAN/パソコンぜい弱性診断
・有害サイトアクセス規制
マカフィー・インターネットセキュリティスイート2005
---価格\9,240 実売\6,337(\6,443) 発売2004.12;Windows XP/2000Pro/Me/98
「マカフィー・ウイルススキャン 2005」、「マカフィー・パーソナルファイアウォー
ルプラス 2005」、「マカフィー・スパムキラー 2005」、「マカフィー・プライバシーサ
ービス 2005」をすべて統合し、個人向けに強力なインターネットセキュリティをフルパ
ッケージで提供するマカフィーの主力製品です。
Norton Internet Security 2005[シマンテック]
---価格 実売\6,790(\7,509) 発売2004年10月15日;Windows XP/2000Pro/Me/98
特別優待版\6,552; DL版\5,775
Norton Sysyem Works 2005
---価格\13,800 実売\9,268(\10,177) 発売2004年10月15日;Windows XP/2000Pro/Me/98
特別優待版\8,232; DL版\8,085
この製品には、ウイルス対策、ハードディスクの最適化、システムトラブルからの復旧、
インターネット・セッション後のクリーンアップなどのための各種シマンテック製品が統
合されています。
ZoneAlarm Pro4 & ウイルスキラー2004 セキュリティパック[e-Frontier]
---価格\7,140 実売\5,420(\5,437) 発売2004年8月6日;Windows XP/2000Pro/Me/98
---
●ウイルス対策ソフト
Norton AntiVirus 2005
---価格\7,140 実売\4,574(\5,070) 発売2004年10月15日;Windows XP/2000Pro/Me/98
特別優待版\4,998; DL版\4,725
McAfee.com ウイルススキャンオンライン [ソースネクスト]
---\1,980
Panda Titanium Antivirus[ライブドア]
---Windows XP/2000Pro/Me/98SE/98; パッケージ版¥6,279(実売\4,930)、DL版\4,200
発売日2004年10月1日;試用版有り
・強力で動作の軽いウイルススキャン機能を搭載 ・ワームやトロイの木馬の駆除に対応
・毎日更新される定義ファイル ・スキャンするファイルの指定・追加機能
・ハッキングツール検出機能 ・ダイヤラープログラム検出機能
・ジョークプログラム検出機能 ・自動プロテクション機能
・インターネットアクセスの設定 ・自己診断機能
・レスキューディスク作成機能 ・ホームページで最新の情報を提供
V3 VirusBlock(V3 ウイルスブロック)[Ahnlab]
---\4,980; Windows 98Se /98 /95 /Me /NT4.0 /2000/XP
パーソナルファイアーウォール無償
マカフィー・ウイルススキャン2005
---価格\5,754 実売\3,573(\3,808) 発売2004.10.15;Windows XP/2000Pro/Me/98
優待版※\4,179
ウイルスバスター2005 インターネット セキュリティ[トレンドマイクロ]
---価格\8,500 実売\4,990(\5,838) 発売2004年10月22日
・個人情報漏えい防止 ・総合ウイルス対策修復 ・不正アクセス防御
・スパイウェア検出/駆除 ・迷惑メール対策 ・無線LAN/パソコンぜい弱性診断
・有害サイトアクセス規制
---
●不正アクセス対策ソフト(Firewall)
PCGATE Personal Ver1.0[NEC]〜不正アクセスからがっちりガード
---価格3,500円(税別)
ソフトウェア・プロダクト・オブ・ザ・イヤー2001受賞
McAfee.comパーソナルファイアウォールPlus[ソースネクスト]
- \1,980
McAfee.com インターネットセキュリティSuper (ダウンロード版)
−「McAfee.com ウイルススキャンオンライン」「McAfee.com パーソナルファイアウォ
ール Plus」「McAfee.com プライバシーサービス」の3本がひとつになった統合セキュ
リティパック パッケージ版 標準価格 \7,980→ ダウンロード価格 \2,980
Norton Personal Firewall 2003
- 定価 6,800円 →販売価格 5,350円; ダウンロード価格\2,700; 2002.10.17発売
- Norton Internet Security 2003 - \7,800(実売\6,240); ダウンロード価格\4,100
- Norton SystemWorks 2003 - \13,800(実売\11,360)特別優待版\9,800(実売\7,220)
ネットバリア X[Act2]
- MacOS X; 価格:11000円
-
●資料
Biglobe Software:ウイルス対策/セキュリティ
[価格.com]Internetソフト
●主要ウイルスソフト機能一覧
| 製品名 | 会社名 | 価格 | 更新料
/年 | ウイルス対策 | 駆除ツール配布 | 迷惑メール対策 | スパイウェア検知 | ファイアウォール |
| 検査退治 | 常時監視 | 定義の自動更新 | 定時スキャン | システム自動修復 | ポート自動設定 | ポート手動設定 | 侵入検知 | アクセス記録 | ルール更新 |
| NOD32アンチウィルス | キャノンSS | 6800円 | 2500円 | ○ | ○ | ○ | ○ | X | ○ | X | X | X | X | X | X | X |
| Norton Internet Security 2004 | シマンテック | 9800円 | 4000円 | ○ | ○ | ○ | ○ | X | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| V3ウイルスブロック | アンラボ | 2980円 | 2000円 | ○ | ○ | ○ | ○ | X | ○ | X | X | X | ○ | X | ○ | ○ |
| Internet Virus Protector V4 | ライフボート | 4800円 | 2年1800円 | ○ | ○ | ○ | ○ | ○ | X | ○ | ○ | X | X | X | X | X |
| マカフィInterent Security Suite ver.6 | マカフィー・ジャパン | 5980円 | - | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| ウイルスキラー2004 | イーフロンティア
-専用www.viruskiller.jp | 1980円 | 1980円予定 | ○ | ○ | ○ | ○ | ○ | X | X | X | ○ | ○ | ○ | ○ | ○ |
| ウイルスセキュリティ2004 | ソースネクスト | 1980円 | 1980円 | ○ | ○ | ○ | ○ | X | X | X | X | ○ | ○ | ○ | ○ | ○ |
| ウイルスチェイサー | インテリジェントウェイブ | 4800円 | 1900円 | ○ | ○ | ○ | ○ | X | X | X | X | X | X | X | X | X |
| ウイルスドクター | デジターボ | 4980円 | 2000円 | ○ | ○ | ○ | ○ | X | X | X | X | ○ | ○ | X | ○ | ○ |
| ウイルスバスター2004 Internet Security | トレンドマイクロ | 8500円 | 3000円 | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
原出典:服部彩子、田村奈央「特集1 もしやまさかのウイルス対策」日経パソコン
104-123, 2003.11.24
/2004.5.7 updateのため修正を加えた。
InoculateIT Personal Edition Ver.5.2.9[Computer Associates International, Inc]
----Free; 対応OS:Windows 95/98/Me/NT4.0/2000
ファイルや起動セクタに感染する従来のウイルスを検知・駆除すると共に,「Office 9
5」「Office 98」「Word 2000」書類,「Excel」スプレッドシート,「Access」データベ
ースに感染するマクロウイルスにも対応
QnScan Ver.2.2
[QnSoft]
----US$18 ; 対応OS:Windows 95/98/NT4.0/2000
「QnScan」は,動作が速く,コンパクトで,信頼性の高いウイルス対策ソフト。ほとんど
のウイルスに対応し,80%以上の感染ファイルを修復できる。
●不正アクセス対策ソフト
Sygate Personal Firewall Ver.4.2.867[Sygate Technologies
]
----Free ;Windows 95/98/Me/NT4.0/2000/XP
PCをクラッカーから守ると共に,PC内にある不正プログラムがネットワークへアクセスす
るのを防いでくれる。また,外部からPCを見えないようにできる。LANおよびインターネ
ットの両方に対応。
SafeDisk Ver.2.2.2[SoftLab MIL-TEC Ltd]
----US$79 ;Windows 95/98/Me; 試用期間15日。
「SafeDisk」は,不正なアクセスからPCを守るためのユーティリティ。本ソフトを使えば,
自分だけが秘密情報にアクセスして読めるようにできる。
RIJNDAEL,BLOWFISH,SQUARE,GOST,SKIPJACK,RSCの各アルゴリズムに対応。
Tiny Personal Firewall Ver.2.0.14[Tiny Software
]
----Free; Windows 95/98/Me/NT4.0/2000
一般家庭でのケーブル接続およびDSL接続におけるセキュリティ用に開発されたフリーのユーティリティ。
本ソフトは,アプリケーションごとにデータの送受信を制御できるマルチレイヤーセキ
ュリティ保護,「トロイの木馬」を防ぐ「MD5 Signature Support」,SRC/DST IPアドレ
スに基づくフィルタリング,ポートおよびアプリケーションごとのパケット受け入れの判
別,リモートアクセスのログおよび統計,不正侵入の検知等の機能を備えている。また,
本バージョンでは,TDIエラーの修正が行われている。
なお,本ソフトは,WinRouteまたはMicrosoft Internet Connection Sharingがインス
トールされているPCでは正常に機能しない。
ZoneAlarm Ver.2.6.231.0[ZoneLabs]
----Free; Windows 95/98/Me/NT4.0/2000
DSLまたはケーブルによるネットワーク接続ユーザー向けのクラッカー対策ソフト。ファ
イアウォール,「Application Control」「Internet Lock」「Zones」の4種類のセキュリ
ティ機能が用意されている。
ファイアウォールは,PCへのアクセス経路を制御し,許可したトラフィックだけを受け
入れるようにできる。
Application Controlは,インターネットを利用するアプリケーションを制限可能。
Internet Lockは,ユーザーがPCから離れている時や,インターネットを利用していな
い時に,インターネットからのトラフィックを遮断するもので,スクリーンセーバーや一
定の無活動時間に連動して自動的に実行できる。
Zonesは,PC上の活動をすべて監視し,新しいアプリケーションがインターネットへア
クセスしようとした際に警告してくれる。
●Authentic Virus Checker 1.0.0
---Unix; Free; 凶悪なコンピュータウィルスを検出するソフト
Linux用のウィルスは少ないため、このソフトではWindows用のウィルスの検出を行うこ
とも可能となっています。ぜひWindowsパーティションをマウントしてからこのソフトを使いましょう。
◆特徴
・Windows用のウィルスを検出可能。
・GTK によるわかりやすいインタフェイス。
●Interscan Viruswall for Linux[トレンドマイクロ]
---RedHat Linux6.1/6.2,Turbo LINUX Server6.1 36万円〜(1サーバ・30アカウント),無制限250万円 トレンドマイクロ
FTP,HTTPとE-Mailのパケットを監視することにより,ウイルスの侵入と流出を阻止。
●ダウンロードサイト
@nifty Download: Windows>Utilities>各種セキュリティ
Vector: Windows>Utilities>各種セキュリティ
ZDNet Download: Windows> Tool/Utilities>セキュリティ
●Online Download ショッピングサイト
Biglobe Softplaza: ウイルス対策
Floracityダウンロード販売
サンテクダイレクトショッピング:ソフト:ウイルス
---Download販売も含む
●リソース
日経パッケージ・ソフト総覧2000:ウイルス対策ソフト/ウイルスチェッカー[31種]
Biztech WebGuide: ウイルス
ウイルス対策サイト in IPA 情報処理振興事業協会
---ウイルスDB、対策資料、統計など
JCSA(日本コンピュータセキュリティ協会)
---ニュースや各種資料
ワクチンバンク
---任意団体、PCウイルス総合サイト。基礎講座、ウイルスDB, リンク
★オンラインスキャン[トレンドマイクロ]可
コンピュータウイルス対策[電気通信大学小菅研究室]
---基礎知識や調査結果、ニュース、リンク
トレンドマイクロ株式会社〜ウイルスバスター
http://www.trendmicro.co.jp/
マカフィー株式会社〜マカフィー・ウイルススキャン
http://www.mcafee.com/jp/default.asp
日本ネットワークアソシエイツ→
コンピュータ・アソシエイツ株式会社
http://www.caj.co.jp/
●総合
Biztech WebGuide: ウイルス
●ニュースサイト
Yahoo! Japan Topic: PCウイルス
NAV News[三井物産]
---メール配信。 無料登録
Yahoo! Japan :ソフトウェア> ウイルス
コンピュータとインターネット > ソフトウェア > セキュリティ > ウイルス
アンチウィルス製品
サポート
Knowledge Base
セキュリティ・レスポンス
●ウィルス定義・ファイアウォールの更新について
--- 年間購読料\2,000 [2001.11値上げ]
●危険度の高いウイルス情報[2003.8.18]
●W32.Nimda.A@mm関係ページ
CodeRed関係ページ
W32.Sircam.Worm@mm関係ページ
Symantec
Security Check
ウィルス定義ファイルのインストール方法
2年目以降のウィルス定義ファイル更新に関して
ウィルス定義ファイル更新のお申し込みと実行方法
●ウイルス最新情報
W32.Nimda.A@mm
W32.Magistr.39921@mm
W32.Apost.Worm@mm
W97M.VMPCK1.gen
Backdoor.Way
VBS.Cuerpo.A@mm
W32.Qint@mm
現在のウィルス情報リスト
●無償ウイルス駆除ツール[日本語説明]
W32.Nimda.A@mm駆除ツール
VBS.Haptime駆除ツール
Trojan.JS.Offensiveツール
CodeRed IIツール
W32.Sircam.Worm@mm 駆除ツール
W95.HybrisF 駆除ツール
W32.Navidad 駆除ツール
W95.MTX
駆除ツール
その他の無償駆除ツール
●SWAT
米国swat情報へ
i-mode services
NTTドコモ、iモードを利用したウィルス情報とニュースリリースの速報をお届けします。
●最新ウィルス定義ファイル
最新ウィルス定義ファイルのダウンロード
●ウイルス辞典
ウィルス辞典
ウィルス、ワーム、トロイの木馬に関する情報をオンラインで検索
デマウィルス
デマウィルスに関する情報
ジョークプログラム
ジョークプログラムに関する情報
●参考情報
ウィルスカレンダー
ウィルスの発病が一目でわかるカレンダー
参考情報
ウィルスに関する様々な情報と解説
参考資料:
ホワイトペーパー [SARCの役割 /32ビットOSの環境におけるウィルス動作の理解/Windows NTの環境におけるウィルス動作の理解/コンピュータウィルスの要約]
ウィルスについてのFAQ [ウイルスとは? /Norton AntiVirusのウイルス定義ファイルをどうやって更新するの? /Norton AntiVirusによる修復 /Joe Wells' Wildlist Notes英語)]
不正アクセスやDoS攻撃を防ぐ対策方法 [脅威のDoS攻撃 /コンピュータ不正アクセスとコンピュータウィルス ]
ネットワーク利用者のコンピュータ・ウィルス対策 [第1回 コンピュータ・ウィルスの実体 /第2回 コンピュータ・ウィルスの種類とマクロ・ウィルスの脅威 /第3回 ワクチン機能と役割 /最終回 企業ネットワークにおけるワクチンソフトの適用 ]
用語解説
コンピュータウイルスの基礎知識 第202号(1999/10/25)[BIGLOBE SoftPlaza]
シマンテック/トレンドマイクロ--ウイルス対策ソフト最新版2製品
:メールの受信時に添付ファイルのウイルスチェックを実行:(日経パソコン 1999年11月1日号)
トレンドマイクロ「ウイルスバスター2001」
:新時代のパーソナルセキュリティーソフト(日経ベストPC2000年12月号)
トレンドマイクロ/シマンテック「最新ウイルス対策ソフト2製品」
:分かりやすさが売りのウイルスバスター、カスタマイズの柔軟性が高いインターネットセキュリティ:(日経パソコン2000年10月5日号)
ウイルス情報は豊富なので、今後直接自分に関係あるものだけ。
(別名に WORM_MSBLAST.A, W32.Blaster.Worm, W32/Lovsan.worm 等)
感染したわけじゃないが、世界中の感染PCが40万台突破と、新聞、TVで報道されるほど
社会問題として取り上げられるようになり、一応心配になった。
●対象OS
Windows XP/2000/2003/NT
●症状
・感染活動により、Windows OS の一部が異常終了または再起動することがある。
・自らが攻撃者となり他のシステムに対して "感染" 活動を開始。
●Blaster ワームの感染の確認<1>
1)Ctrl + Alt + Delete キーを同時に押し、Windows のセキュリティを開きます。
2)[タスクマネージャ] をクリックします。
3)[プロセス] タブをクリックします。
4)一覧からの上部にある [イメージ名] ボタンをクリックし、アルファベット順の表示。
5)"msblast.exe" を探します。存在する場合は、ワームに感染しています。
●Blaster ワームの感染の確認<2>
- 正常でない TFTP* ファイルが存在する
- WINDOWS SYSTEM32 ディレクトリにファイル msblast.exe が存在する
- レジストリ キーが作成されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto
update" = msblast.exe I just want to say LOVE YOU SAN!! bill
●対策
・駆除ツールは次の資料参照
・Windows updateが予防のために必要。
(Microsoft Windows XPの場合 [Version 5.1.2600]が最新(2003.8.17現在)だが、要update)
●参考
マイクロソフト:Blaster に関する情報[2003.8.12]
発見2002年4月17日。 2002.4.22[月]朝、ウイルスらしきメール3件に対する警告がな
かった。 自機が感染しているらしい。
しかし、駆除ツールでは、感染はないとのこと。 継続注意中...
●問題
アンチウイルスソフトを無効にする点。
●症状
W32.Klez.H@mmは、W32.klez.E@mmの改造バージョンで、電子メールとネットワーク共有を
介して感染を拡大します。また、ファイルに増殖する能力も持っています。
種別: ワーム
発病症状: 感染先のファイルのコピーを作成して隠しファイルとして保存した後、元のフ
ァイルを自分自身で書き換えることで、実行ファイルにも感染します。隠しファイルとし
て保存されたコピーは暗号化されますが、感染性のあるデータは何も含まれていない状態
で保存される。隠しファイルのファイル名は、元のファイル名にランダムな拡張子が付いたものになる。
大量メール送信: Windowsのアドレス帳、ICQデータベース、ローカルファイルから探し出
したメールアドレスすべてに対し、自分自身を添付した電子メールを送信する。
秘密情報の漏洩: ワームファイルの送信時、感染先マシン上にあるファイルからランダム
に選択した1ファイルを添付する。つまり、ワームファイルに加え、次のいずれかの拡張
子がついたファイルが添付されたメールが送信される:.mp8、.txt、.htm、.html、.wab、
.asp、.doc、.rtf、.xls、.jpg、.cpp、.pas、.mpg、.mpeg、.bak
●対策
Symantec Security Response では、W32.Klez.H@mm と W32.Klez.E@mmの両方を駆除するツールを用意
●参考
Symantec:W32.Klez.H@mm
トレンドマイクロでは、最も危険度の高いウイルスとして、WORM_BADTRANS.B警告中。(2001.12.5)
>> 専用対策Webはこちら
本文が空白で、添付ファイルが二重拡張子のファイル名(<ファイル名>.<拡張子1>.
<拡張子2>)のメールで送られてきます。
Internet Explorerにセキュリティホールがある場合、 メールをプレビューしただけでウ
イルスが活動を始めます。不審な添付ファイルを実行しないとともに、Internet Explore
rのセキュリティホールをふさぐようにしてください。
ウイルス種類: トロイの木馬型(ワーム型)
●症状
破壊活動 1: メールを自動送信する
2)ハッキング活動
トレンドマイクロ
2001.12.6
OutlookとICQのメッセージを利用してひろまるワーム型不正プログラム「WORM_GONE.A」
は海外で感染報告が相次いでいます。 以下のメールを受け取った場合はメールを添付フ
ァイルごと削除してください。
件名:"Hi"
本文: "How are you ?
When I saw this screensaver, I immediately thought about you
I am in a harry, I promise you will love it!"
添付ファイル名:"GONE.SCR"
>> 駆除ツールはこちら
このウイルスは、SolarisOS上で動作するウイルスで、セキュリティホールを悪用 して感染を広げる。
セキュリティホールのあるシステムに侵入すると、自分自身をコピーし、外部からリモートアクセスができるように設定を変更する。
次に、インターネット上のセキュリティホールのあるIISサーバーを検索し、発見すると、そのマシンのWebページを改ざんする。
-----
Solaris/Sadmind(エスアドミンディー)
Unix/Sadmind(別名:SunOS/BoxPoison.worm、Backdoor.Sadmind, Solaris/Sadmind.worm)[2001.5.18]
MicrosoftがIISのセキュリティホール修正パッチ[01.5.17]
IIS4.0 & IIS5用。
この欠陥はURLをリクエストされる度に行われるセキュリティの再チェックに関わるもの。
この機構に詳しければ再チェックをシステム侵入の突破口にできるという。14日にリリー
スされたパッチは,この問題を含むこれまで知られている全てのセキュリティホールを修
復するもの。この問題点は自動的に侵入者にシステムの制御権を明け渡すようなものでは
ないため,セキュリティ専門家らは2週間前に発見されたIISのプリントモジュールのセキ
ュリティホールより深刻度は低いとしている。
Technet:緊急 : Code Red ワームに対する警告- 至急修正プログラムをインストールして下さい- [2001.8.9 Microsoft]
--- IIS4,5用。修正プログラムを適用する。 NT_SP6a要
これをインストールした結果、Windows NTが起動しなくなった。
STOP メッセージ (致命的なシステム エラー) が発生。
詳細は以下を参照。→Windows NT tips:トラブル記録
最終的に、Windows NTの再インストールとなった。
★Code Redとは
ワームの一種で、IISの異常終了、Backdoor型トロイの木馬(Trojan.Virtual Root)
[explorer.exe,root.exe]の設置の被害をもたらす。
Code Red v3[Symantec]
---発見日: 2001年8月4日; 別名CodeRed.v3, CodeRed.C, CodeRed II, CodeRed III, W32.Bady.C
Code Red Worm[Symantec]
CodeRed関係ページ
●対象
感染対象: 修正プログラムが適用されていないMicrosoft Index 2.0あるいはWindows 200
0 Indexing Serviceを使用しているシステム。
このワームは、Idq.dllファイルに含まれるバッファ・オーバーフローと呼ばれる既知の脆弱性を利用します。
●感染経路
●症状と添付ファイル
発病症状:
パフォーマンス低下: 大量のスレッドを生成し、帯域を利用する。
不正アクセス: 大量のスレッドを生成する。
★対応tool
マイクロソフトの修正プログラム
概要★「緊急 : Code Red ワームに対する警告」[Microsoft 01.7.31]2p
http://www.microsoft.com/japan/technet/security/codealrt.asp
---関連情報とツール入手先
詳細★「Code Red ワームを阻止する修正プログラムのインストール」
Code Red による深刻な問題に対する防護策と対処方法についての説明[Microsoft 01.8.8]14p
http://www.microsoft.com/japan/technet/security/codeptch.asp
---Code Red詳細説明と対処方法
1)サービスパックの入手
このワームに対して対処するための修正モジュールを適用するには、 Windows NT 4.0 Service Pack 6a が必要。
Web からダウンロード
Windows NT4.0Service Pack 6a のご案内[Microsoft 00.1.12]
http://www.microsoft.com/japan/products/ntupdate/nt4sp6/
---Intel(x86)版の場合、差分sp6patch_i386.exe(303KB),標準sp6full_i386.exe(56,186KB)
2)修正モジュールの入手
Windows NT 4.0 Service Pack 6a 以降のセキュリティ ロールアップ パッケージ (SRP) の提供を開始[Microsoft 01.8.2]3p
http://www.microsoft.com/japan/technet/security/nt4srp.asp
---修正プログラム入手先と修正内容詳細
2a)修正モジュールの問題
SRP 適用後に Compaq Smart アレイ コントローラの 1 つを搭載しているコンピュータで
問題が発生する場合があることが確認。それ以外のPCでも問題発生の可能性あり以下のKBを参照。
JP305228: Windows NT 4.0 セキュリティ ロールアップ パッケージ適用後 STOP 0xA 発生[Microsoft 01.8.10]3p
---ブルー スクリーンに表示されるエラーメッセージ。
STOP 0x0000000A (0xfcc35000, 0xa, 0x00000001, 0x801e092a)
IRQL_NOT_LESS_OR_EQUAL
参照されるメモリは 0xfcc35000。IRQL は 0xa (IRQ 10) 。値 0 は読み取り、1 は書き
込み操作。メモリを参照したアドレスは 0x801e092a。
註)対応ドライバ[cparray.sys]はCOMPAQでupdate済みだが、Compaq機のみ適用可。
上記の問題に関連して以下の文書が公表。
JP299444: Post Windows NT 4.0 SP6a セキュリティ ロールアップ パッケージ (SRP)[Microsoft 01.8.16]5p
同オリジナルPost-Windows NT 4.0 Service Pack 6a Security Rollup Package (SRP)[Microsoft 01.8.13]5p
J049764: [NT] サービスパックを再適用する必要のあるケース[Microsoft 99.8.23]2p
---通常Windows NT CDからコンポーネントを追加した場合など
★修正プログラム :NT Server 4.0 Download Security Update, July 26, 2001
http://www.microsoft.com/ntserver/nts/downloads/critical/q299444/default.asp
PC/AT 互換機用
http://www.microsoft.com/downloads/release.asp?ReleaseID=31717
---日本語版13.99MB ; http://download.microsoft.com/download/winntsp/Patch/q299444/NT4/JA/JPNQ299444i.exe
NEC PC-9800 シリーズ用
http://www.microsoft.com/downloads/release.asp?ReleaseID=31754
---日本語版13.99MB ; http://download.microsoft.com/download/winntsp/NEC98/q299444/NT4/JA/JPNQ299444n.exe
3)感染チェックツールの入手
感染する危険性をチェックするためのツールは、次の 2 社より提供されております。
ワーム「CodeRED」セキュリティホール検知ツール (トレンドマイクロ社)
Solution3057:ワーム「CODERED」セキュリティホール検知ツール[Trendmicro 01.8.2]
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3057
---3057CRchk.exe (361KB)
Symantec Security Check - CodeRed Check (シマンテック社)
Symantec Security Check - CodeRed Check[Symantec ]
http://www.symantec.com/region/jp/securitycheck/codered_secutitycheck.html
---CRdetect.exe 他ツール
セキュリティホールとなっている脆弱性の存在をチェック[シマンテック]
★ニュース
ワーム「Code Red」被害拡大〜東京めたりっく・インターリンクなど被害続出〜[Internet Watch 01.8.6]
---関連サイトリンク10
シマンテック、さらに悪質なCodeRedワームの変種を警告−バックドア型トロイの木馬を仕掛けるCodeRed.v3−[シマンテック 01.8.6]
●関連資料
マイクロソフト社の"Nimda"ワームに関するページ[Microsoft]
W32.Nimda.A@mm関係ページ[Symantec]
W32.Nimda.A@mm[Symantec]
「PE_NIMDA.A」詳細情報 [トレンドマイクロ]
W32/Nimda@MM[McAfee]
●対象
Windows
●感染経路
W32.Nimda.A@mmは、多数の感染方法を持つ新しい大量メール送信型ワームです。
ワームは電子メールで自分自身を送り、有効なネットワーク共有を捜して、修正プログラ
ムが適用されていないMicrosoft IIS Web サーバにワーム自身をコピーしようと試みます。
また、ローカルおよびリモートネットワーク両方にあるファイルに感染するウィルスでもあります。
●症状と添付ファイル
添付ファイル: README.EXE (電子メールの受信時、このファイルは添付ファイルとしては表示されない可能性がある。)
添付ファイルのサイズ: 57344
大量メール送信: MAPIを使って自分自身をREADME.EXEとして送信する(Readme.exeは、添
付ファイルとしては表示されない可能性がある)。
ファイル改ざん: 多数の正当なファイルをそれ自身で置き換える
パフォーマンス低下: システムをスローダウンさせる
不正アクセス: Cドライブをネットワーク共有する
●対応策
1)ウイルス駆除
対策ツールは各社配布しているが、Symantecのfixnimda.comが一番簡便
2)IEの対応バージョンアップ (例 IE5.5 → IE5.5 sp2[2001.8.15 release])
3) IIS 4&5 →対応sp
実は、当社内で猛威を振るった。 2001.9.18-9.26頃
実に多機能で、Lan接続可、PC1台のワクチン処理が終わってしばらくすると、他PCか
ら再感染するなど、鼬ごっこが続いた。
通常はメールらによる感染で、Symantec antivirusで簡単に処理してきたが、NIMDAも
メールによる感染経路でありながら、一度Lan内部に入り込んだ後の、威力には凄いもの
があったので、別項目としたメモしておく。
●PCウイルスNIMDA被害報告
【期間】
9月19日に侵入発見、28日に対応完了。
【被害】
1)当社経由で社外企業への不正アクセス2件(先方より連絡あり)
2)Windows起動不可 2件(起動システムファイル書き換え)
3)Windows起動異常 2件(startup登録プログラムの無限起動,デスクトップ画面非表示)
4)Microsoft Office異常 2件(Excelファイル保存不可、Outlookメール不可)
5)Antivirusソフト起動不可 1件(NTサーバー)
6)インターネット接続不可 2件
7)感染ファイルの異常増殖 多数(.eml, .nsw, mep*.* )
8)その他
【対応】
1)NIMDA専用駆除ツール fixnimda.comによる全PCの駆除作業
2)駆除ツールで解決不可のケースが4件ほど発生(起動不可など)
...個別に原因調査と解決
【再発防止の対策】
1)Norton Antivirusを全PCに導入、NT Serverは、定期Scanをスケジュール化
●ワクチン処理
最終的には、fixnimda.comをダウンロードして処理する。
自分のPCの場合、全ドライブをチェックすると、1.5時間程度必要だが、この専用ワク
チンだと20分程度と早く、いちいち処理方法を確認してこないので、楽。
●起動ドライブの空き領域がゼロ
mep*.* というファイルを7500程作成したいた。
--- fixnimda.comが自動削除してくれる。
● .eml, .nswの感染ファイルを大量に作成
--- fixnimda.comが自動削除してくれる。
●Windowsが起動しない。(Safe modeもダメ)
--- system.ini内に
Shell= explorer.exe load.exe -dontrunold
を加えるため。
Shell= explorer.exe に戻す。
詳細は、W32.Nimda.A@mm[Symantec]を参照
ただ、ワクチン処理をせず、PCを再起動すると、元に戻してしまう。
●Windowsが起動しない。(Safe mode ok)
--- autoexec.batが書き換えられた
--- fixnimda.comが自動修復しない
●Windowsは起動するが、デスクトップやスタートアップを読み込まない
--- fixnimda.comが自動修復
●Excel でファイルが保存できない。
---ワームはRiched20.dllファイルを、同名の自分自身のファイルで置き換えます。Rich
ed20.dllはMicrosoft Wordなどのアプリケーションに使用されるWindowsの正規の.DLLで
す。このDLLを置き換えることによって、Microsoft Wordなどのアプリケーションが実行
されるたびに毎回、ワームが実行されるようになります。
--- fixnimda.comが自動修復してくれる。 だめだったら、正常にPCには、
\windows\systemに入っているので、差し替える
●Outlook がダウンロード済みメールを開けない
--- fixnimda.comが自動修復しない
---ワームはRiched20.dllファイルを、同名の自分自身のファイルで置き換えます。Rich
ed20.dllはMicrosoft Wordなどのアプリケーションに使用されるWindowsの正規の.DLLで
す。このDLLを置き換えることによって、Microsoft Wordなどのアプリケーションが実行
されるたびに毎回、ワームが実行されるようになります。
--- fixnimda.comが自動修復してくれる。 だめだったら、正常にPCには、
\windows\systemに入っているので、差し替える
●Norton Antivirus Enterprise Edition起動エラー
NTサーバー、でNorton Antivirus Enterprise Editionを起動するとエラー
"VPC32.exe -序数が見つかりません。 序数6880がダイナミックライブラリMFC42.dll
から見つかりません。" 2001.9.21
●MMCがおかしい
W32.Nimda.A@mmは実行されると、まず、その実行元となっている場所を調べ、その後、
Windows ディレクトリ内のMMC.EXEに上書きするか、またはWindowsのテンポラリディレク
トリ内に自分自身のコピーを作成します。
MMC (Microsoft 管理コンソール)の再インストールを促す、
やむなく再インストールしようとするとめちゃくちゃで、再インストール不可
--- fixnimda.comが自動修復。
註)\winnt\system32\mmc.exe
●internetアクセスが異常に遅くなり、しばしばサーバーエラー
--- fixnimda.comが自動修復。
●スタート時、Startup登録プログラムを繰り返し起動
---[Windows NT4.0]
●当社経由で、社外NTサーバーへの不正アクセス2件(先方より連絡あり)
---[Windows NT4.0]
W95.Hybris.gen[Symantec]
「W32/Hybris」に関する情報[IPA]
●対象
このウイルスは、受信メールやWebサイトからメールアドレスを取得してメールを送信します。
従って、ウイルスメールは単独で届きます。また、メールをやりとりしたことのない、
まったく関係のない相手方から届くことがあります。
●感染経路
このウイルスは、ウイルス自身を添付したメールを自動送信することにより感染を広める
メール機能悪用ウイルスです。
メールに添付されたウイルスファイル(一部を除きEXEファイル)をダブルクリック
(実行)することにより感染します。
また、このウイルスは、自分自身を改造し機能を追加する仕組みを持っています。(こ
の機能を持つ最初のウイルスは、1999年12月に初めて発見されたバビロニアウイルスです。)
●症状と添付ファイル
感染したパソコンが日本語環境の場合は、差出人、件名、本文が空白ののっぺらぼうメー
ルで、添付ファイルは「ランダムな 8文字のアルファベット」+「.exe」の名称となります。
ただし、海外から送信されたメールは、差出人が、Hahahaで、件名、本文等が入ります。(表参照)
W32.Sircam.Worm@mm関係ページ
W32.Sircam.Worm@mm[Symantec]
「W32/Sircam」ウイルス依然として蔓延!![IPA]
流行のおそれがあるSircamウイルスについて(暫定情報)−W32/Sircam.A-mm−[日本コンピュータセキュリティリサーチ]
●対象
Windows
[作成]
c:\recycled\sirc32.exe 137,216 Byte
c:\windows\system\scam32.exe 137,216 Byte
さらにレジストリに次のような変更を施す。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Driver32=C:\WINDOWS\SYSTEM\scam32.exe
HKEY_CLASSES_ROOT\exefile\shell\open\command\
(標準)=""C:\recycled\sirc32.exe" "%1" %*"
-----
ネットワークで接続されたドライブを検索して感染するようである。ただし細部は未確認。
1)RECYCLED\SIRC32.EXEを作る。
2)AUTOEXEC.BATに@win \recycled\sirc32.exeという記述を加える。
3)\Windows\Rundll32.exeを\Windows\Run32.exeにコピー。
4)\Windows\rundll32.exeをウイルスに置き換える。
-----
マイドキュメントフォルダ(C:\MyDocuments)を検索して拡張子が.DOC(または .XLS .ZI
P)のファイルのリストをシステムフォルダにSCD.DLLという名前で作る。
●感染経路
メール
●症状と添付ファイル
ウイルスに感染するとウイルスを添付したメールを送信します。
送信されるメール内容は次のとおりです。
宛先:
Outlook,Outlook Express のアドレス帳の登録アドレスすべて、並びに「テンポラリ・イ
ンターネット・ファイル」フォルダ(Webブラウザのキャッシュフォルダ)にあるファイ
ルの中から任意に取得したアドレス
件名:
ランダム
「マイドキュメント」フォルダにあるドキュメントファイル及び画像ファイルに入っているデータから取得
本文:
下記いずれのバージョンも 1行目と最終行は確定しているが、その間の文はランダムに選
ばれる。バージョンは送り側で決定される。
英語バージョン
1行目: Hi! How are you?
・I send you this file in order to have your advice
・I hope you can help me with this file that I send
・I hope you like the file that I send you
・This is the file with the information that you ask for
最終行: See you later. Thanks
添付ファイル: 件名に拡張子が付けられたもの
発病:
10月16日に Cドライブのすべてのファイルとディレクトリを削除する。
起動時にハードディスクの未使用スペースを埋めてしまう。これらの症状がおこる可能性がある。
また、MS-Word、MS-Excel などのデータファイルに感染し、添付ファイルとして送信する
ので、 秘密情報が漏洩する危険性がある。
注)修復作業には、Windowsが起動しなくなったり、全てのデータを無くしてしまうといった危険性があります。
VBD.Haptime.A@mm[Symantec]
8月 5日発病:「VBS/Haptime」ウイルスに注意[IPA]
ウイルス解析情報(VBS/Haptime.A-m)
●対象
このウイルスは、メールを開くだけで感染する可能性があります。
Outlook Expressではプレビューしただけで感染する場合もあります。(対策参照)
VBS/Haptimeウイルスは、発病すると拡張子が、dll、exeのファイルを削除します。
発病は、システムの「月」と「日」の合計が13のとき( 8月 5日、9月 4日等)です。
発病してからでは修復作業に大変手間がかかるので、発病前に最新の定義ファイルのワク
チンソフトで検査・駆除を行って下さい。
●感染経路
●症状と添付ファイル
このウイルスは、Outlook Express の HTML形式のメールの署名ファイル、またはOutlook
の添付ファイルを介して感染を拡げるウイルスで、HTML形式のメールを開いたとき、あ
るいは添付ファイルを実行すると感染する。感染したマシンで、OutlookExpresでメール
を送信するとメール本文にウイルスを埋め込んだ署名が追加される。また、ウイルスが 3
66回実行されると、その時のシステム時刻の秒の数値により、以下のメールを送信する。
1) 「秒」が奇数の場合
宛先: Outlookのアドレス帳の登録アドレス全て
件名: Help
本文: 空白
添付ファイル名 : Untitled.htm
2) 「秒」が偶数の場合
宛先: Outlookの受信トレイにある全てのメールの差出人
件名: Fw:(メールの件名)
本文: 空白
添付ファイル名 : Untitled.htm
感染・発病
Internet Explorer 5.0 以降、WSH(*)がインストールされている環境で、ウイルスの
署名が追加されたHTML形式のメールをマイクロソフト社のOutlook または Outlook Expre
ss で開いたとき、 もしくは Outlook Express でプレビューウインドウを使ったときに
動作する。(※対策参照)また、メールの添付ファイルを実行すると動作する。
動作すると、Windowsフォルダ(通常は、C:\windows)に Help.htm、Help.vbs、Untitle
d.htm、Help.hta という名称のファイルを作成する。
Outlook Expressのデフォルト署名のファイルをUntitled.htmファイルに変更するととも
に、送信メールの設定を HTML形式に変更する。この状態で、Outlook Expressで送信した
メールの本文に、ウイルスが埋め込まれた署名が追加される。
また、ウイルスは実行回数を記録し、366回実行されると、Outlook を利用して、Untitle
d.htmという名称のウイルスを添付したメールを送信する。
システムの「月」と「日」の合計が13のとき(例:8月5日、9月4日)、拡張子が、.dll、
.exe のファイルを削除する。
(*)WindowsScriptingHost
●Symantec removal tools[英文]
W32.Nimda.A@mm Removal Tool
CodeRed Removal Tool
W32.Sircam.Worm@mm Removal Tool
VBS.Haptime Removal Tool
W95.HybrisF Removal Tool
W32.Kriz Removal Tool
W32.Navidad Removal Tool
W32.HLLW.QAZ.A Removal Tool
W95.MTX Removal Tool
W32.FunLove.4099 Removal Tool
Wscript.Kakworm Removal Tool
Wscript.Kakworm.B Removal Tool
Happy99.Worm Removal Tool
VBS.Loveletter Removal Tool
PrettyPark.Worm Removal Tool
VBS.Stages.A Removal Tool
W2K.Stream Removal Tool
AOL.Trojan.32512 (BuddyList) Removal Tool
W95.CIH Removal Tool
Worm.ExploreZip Removal Tool
●プレビュー画面を非表示
[表示] -[レイアウト] -[プレビューウインドウ]
で表示しない、とする。
●ごみ箱に隠れるウイルス
Windows 9xに感染するコンピュータ・ウイルス「W32/Sircam」の被害が広がっている。
2001年7月17日前後に初めて発見されて以来,世界各国で被害の報告が相次ぎユーザやウ
イルス対策ソフト各社は対応に追われている。
Sircamは感染したパソコン内のファイルを勝手に送信したり,ハード・ディスクの内容
を消去してしまう。電子メールとネットワーク・フォルダの両方を使い,自身をコピーし
ていくため感染力が非常に高い。
Sircamの感染動作は以下の通りである。まず自身をユーザのシステム上にコピーする。
具体的には,C:\RecycledとWindowsのシステム・フォルダにコピーする。そして,発見し
たネットワーク・コンピュータ上に自分自身のコピーを作り,その後メールで自分自身とシステム上のファイルを送信する。
from 感染力の非常に高いウイルスSircam,国内でも被害が急速に広がる(7/26/2001)[日経バイト]
ウイルス情報 Sircam
●>rmdir recycled
は"ディレクトリが空"でないと無効
ファイルに不可視属性がついていると、削除できない。
ごみ箱からファイルが削除できない by 五葉
●ごみ箱中ファイル削除ツール
ET 0.02 or et 0.01〜Windows のごみ箱内の全ファイルを強制的に削除する
---1999.11.22 by 五葉
MS-DOSモードで動作。(Windows NT4.0 のMS-DOSプロンプトで動作した)
ただ、一部削除されないファイルが残ったこと。 またCD-ROMドライブも対象としてしまうとか...
FT98では削除可能だった
しかし、それでもまだ残ってした。(共有違反エラーで削除不可)
しかし残りは
HaseDir 1.4 --ディレクトリ・ファイル容量表示 (209K)
で片づいた。(ただHasedirは1個ずつしか削除できない)
●\wwwroot\scripts\root.exe
NIMDA
ごみ箱は普通\Recycled という名前のフォルダなんだけど、Windows NT4.0には、
並んで \Recyclerというのもある。
→回答は、Recyclerは NTFS パーティションで使われる。 ということなんだけど、
ゴミ箱の話しもかなり奥が深そうなんだ!
●FAT パーティション
FAT パーティションでは、Windows 95 や Windows 98と同じように、すべてのユーザーが
同じごみ箱を使用します。このため、あるユーザーが削除したファイルがごみ箱に移動さ
れた場合、次にログオンしたユーザーは、削除ファイルをごみ箱から削除したり、元に戻すことができます。
●NTFS パーティション
NTFS パーティションでは、セキュリティを維持するために、ゴミ箱はユーザーごとに別
のフォルダを使用します。このフォルダは、各NTFSパーティションの [Recycler] フォル
ダの中に、ユーザーのセキュリティ ID (SID) に基づいて作成され、そのユーザーと管理
者、およびシステムアカウントのみに対して、アクセス権が与えられます。
デスクトップからごみ箱を開くと、ユーザーには自分が削除したファイルやフォルダしか
見えません。また、ユーザーごとに異なるごみ箱のフォルダが存在することも、分からないようになっています。
ただし、Windows NT エクスプローラーなどを用いて、NTFS パーティションの[Recycler]
フォルダを開くと、複数のごみ箱があることを確認できます。しかし、管理者であって
も、デスクトップから他のユーザーのごみ箱フォルダを開くことはできません。開こうとしても、表示されるのは、管理者自身のごみ箱の 内容です。
●削除されたファイルやフォルダが使用していた領域
NTFS パーティションでは、ごみ箱から削除したファイルや、ごみ箱を経由せずに削除し
たファイルは、絶対に戻りません。これは、セキュリティのために、削除と同時に、ファイルが使っていたデータ領域がクリアされるためです。
しかし FAT パーティションでは、ファイルを削除すると、FAT 内のクラスタチェーンと、
ディレクトリの情報の一部が消去されるだけで、データ領域は次にデータが書き込まれる
か、フォーマットが行われるまで、そのまま残っています。
●参考資料
ファイルシステムによるファイル/フォルダ削除の違いについて[Microsoft]
ワークステーションの共有でごみ箱のアクセス権が設定できてしまう[Microsoft]
Security Focus Newsletter 第 27 号の和訳をお届けします。
---ごみ箱とセキュリティの話しが掲載されている
Windows NT / 2000 「ごみ箱」の脆弱性[Japan Windows NT Users Group]
---米Microsoft社は、Microsoft Security Bulletin (MS00-007) を発行し、 Windows N
T / 2000 の「ごみ箱」に、脆弱性が潜んでいることを明らかにした。.....
| ■Norton Antivirusトラブルシュート |
●メーカーサイト
★シマンテック社
★Symantec[米国]
●サポート[日本]
ダウンロードセンター
サービス&サポート
http://www.symantec.co.jp/region/jp/support/index.html
Knowledge Base
---製品毎の分類、また検索可
http://service2.symantec.co.jp/
●サポート[米国]
Service & Support
http://www.symantec.com/techsupp/
Consumer Knowledgebase
http://www.symantec.com/techsupp/knowledge_base.html
★[2001.12.12] インターネット利用時ページ読み込みとファイルDLが異常に遅くなる[会社PC]
1KB/Sec以下。 これでは仕事にならない。
【経過】
この問題調査過程で、Netscape使用時、ファイルダウンロード時
まず、"\NortonSystemWorks\Norton Antivirus\navw32.exe /download"
としてウイルスチェックをしていることが判明した。
以前にはなかったことだ。
【原因調査】
MSConfigでNorton関連は、Windows起動時作業(Startup)から全部はずしてみた。
結果は同じだった。
また、Regeditによる検索"navw32.exe /download"を行ったが該当なし。
【オプション設定】
Norton Antivirus起動メニューで、[オプション]の項目では
ブラウザーに関してNetscapeに対してProtectするかどうかの選択のみ。
これにチェックをいれていないのに、ファイルDL時に上記作業をしている。
【チェックをはずす選択は可能か?】
上記の通り、NortonAntivirus 2001による現行versionではユーザーが選択不能。
【解決】
【参考資料】
RAIN Network[pdf]
The SVCUG NEWSLETTER June 1997, 6p "Norton Aintivirus and downloading"
ここに上のオプションの説明がある。
Norton AntiVirus2001をインストールすると、電子メールを受信する事が出来なくなってしまった[Symantec]
--- Norton AntiVirus2001をインストールすると電子メール保護が自動的に設定
保護設定前 保護設定後
POP3サーバー : (サーバーのアドレス) → pop3.norton.antivirus *電子メールスキャンプロキシサーバー
アカウント名 : (ユーザーアカウント) → (ユーザーアカウント)/(サーバーのアドレス)
[Test]
pop3.norton.antivirus から、 127.0.0.1 に変更
[Memo]
POProxy.exe
★[2001.6.1] 2001版でLive updateでエラー発生[自宅PC]
【エラーメッセージ】
"スクリプト遮断のため...
IE3.0以上
Microsoft Windowsスクリプティングホスト
(IE5.0に入っている)..."
"Windows 98 4.10.1998 NAV95 7.00.51F
LiveUpdate はこの更新を完了できませんでした。
シマンテック社のテクニカルサポートに連絡し、この画面に表示されているすべての情報を伝えてください。
シマンテック製品のヘルプメニューにテクニカルサポート の Web サイトを表示するためのコマンドを表示するコマンドがあります。
下のファイルを LiveUpdate で更新できませんでした。"
-----------------------------------
【原因調査】
ファイル: H:\NORTON~1\NORTON~2\navtasks.dl^
204800 Bytes 8/21/2000 14:56:58。
註) H:\NortonSystemWorks\Norton Antivirus\NAVtasks.dll
2)会社のは2001.4.30の日付
Symantec-Downloadから直接updateファイルを取得してと考えた。
で現在Versionを確認のため「Antivirus 2001」を起動させようとした。
その結果、"Norton Integratorが現在のフレームクラスを初期化できませんでした。
Norton Integratorを直接実行していることを確認してください"
[01.7.7]
Norton AntiVirus 2001 更新版からWindows9x/Me用 na7079xj.exe (2,716KB)をDL。
updateインストールを介し開始。
"LiveUpdate はこの更新を完了できませんでした。"とエラーがでてしまう。 その詳細は一緒だ。
↓
【解決】
念のため会社からコピーしてきた\NortonSystemWorks\Norton Antivirus\NAVtasks.dll
を上書きコピーしてからupdateに再挑戦。
↓
今度は成功!
【コメント】
NAVtasks.dllを最新版にupdateする。 入手不可なら、シマンテックに理由話してもらうなどの方法。
| ●Norton Integratorが現在のフレームクラスを初期化できませんでした |
★[2001.10.4] 2001版でNorton Anivirusを起動しようとして[自宅PC]
【エラーメッセージ】
その結果、"Norton Integratorが現在のフレームクラスを初期化できませんでした。
Norton Integratorを直接実行していることを確認してください"
【原因調査】
swplugin.dll
【解決】
参考資料の2番目
3) NAV Windows plug-inを登録
により解決。 [2001.10.12]
【参考資料】
Norton AntiVirus2000 :Norton AntiVirus2000を起動すると、
「Norton Integrator 現在のフレームクラスを初期化できませんでした。」というエラーが発生する。
---
対処方法:
この問題は、Norton AntiVirus2000のインストール中に、設定プログラムが正常に起動で
きなかった場合に発生します。以下の操作に従って手動で設定プログラムを実行して下さい。
1. エクスプローラを起動し、Norton AntiVirusのインストールフォルダに移動する。
※ 初期設定でインストールした場合は、以下のフォルダがインストールフォルダになります。
C:\Program Files\Norton AntiVirus
Norton SystemWorksに上書きインストールした場合は以下のフォルダになります。
C:\Program Files\Norton SystemWorks\Norton AntiVirus
2. このフォルダ内の、NRunOnce.exeファイルをダブルクリックして実行する。
※ 画面には何も表示されません。
再度Norton AntiVirusを起動して、問題が解消されているかご確認下さい。
Norton Knowledgebase: Error: "Norton Integrator could not initialize the current frame class;
Error: "Norton Integrator could not initialize the current frame class; please make sure that you did not directly run the Integrator" or "Can't find NSI" when using Norton AntiVirus 2000/2001
[対応策]
1) 2000版 ...update
2) NRunOnce.exe ...前の資料参照
3) NAV Windows plug-inを登録
a) Norton Antivirusのプロパティ画面を出す。 以下の項目を確認
リンク先: "C:\Program Files\Common Files\Symantec Shared\NMain.exe" /dat:H:\NortonSystemWorks\Norton AntiVirus\swplugin.nsi
作業フォルダ: "H:\NortonSystemWorks\Norton AntiVirus"
b) [Start] -[ファイル名を指定して実行]
上の場合なら
Regsvr32 "H:\NortonSystemWorks\Norton AntiVirus\swplugin.dll"
でOK。 実行結果が"..... successful"なら、成功。 PC再起動。
4) 一時ファイルフォルダからファイルを削除
ファイルが多数のためエラー発生する場合がある。
(以下原文参照)
株式会社メドレット
Medlet Japan KK
〒103-0024 東京都中央区日本橋小舟町12−10共同ビル(掘留)5F 久永&Co気付
tel.03-3664-2020 fax.03-3666-3188 URL:www.medmk.com/mm/ E-Mail: support@medmk.com
- Tips 目次へ戻る。
- ホームへ戻る。
- 作成:2000.11.3 最終更新:2004.5.7 小菅博之
