■トロイの木馬を、発見・駆除する方法
○まずはじめに
トロイの木馬は大変やっかいで、それがトロイの木馬であ
ると断言するためには、やはり専用のツールが必須となりま
す。市販のセキュリティソフトウェアを導入することを強く
オススメします。
しかし当方の場合、具体的にその当時使用していたのは、
Norton Internet Security 2001でしたが、トロイの木馬で
あると検知できずにいたことも確かです。
また、自力で駆除するためには、レジストリをいじる程度の
コンピュータに対する知識が必要となりますので、不安があ
る方はOSを再インストールするか、ツールを導入し駆除する
しかないという現実もあります。
このようなことから、「やっかい」なわけなのですが・・・
自分の力と責任でもって、判別し駆除することも可能です。
事実、自力で駆除できました。
このような経緯を含めて、トロイの木馬について知るための
長文を読む気がある方は、下の方へお進み下さい。
○トロイの木馬、名称の由来
これは、なぜか名前の由来から紹介するような風習とい
うか、風潮があるようです。ということで、まずはそこか
らいきましょう。
これは、「トロイ戦争」と名付けれらた戦法が由来とな
っています。ホメロスの叙事詩「イリアス」によると、戦
争の発端は、トロイの王子パリスが女神たちにそそのかさ
れてスパルタの王妃ヘレネを誘拐したことに始まります。
彼女を取り戻そうと、ギリシアの勇者たちがトロイの王
城に進軍します。しかし、当時として鉄壁と言える城壁を
構えていた城は10年間攻め続けても陥落させることができ
なかったのです。
ある時ギリシア軍は、アテナ女神に捧げる巨大な木馬を
岸に残して島に船で撤退したように装いました。これを見
て敵が撤退したと思い喜んだトロイ軍はギリシア軍の残し
ていった巨大な木馬を戦利品として城内に運び、盛大な祝
宴をあげます。
が深夜、巨大な木馬の中に潜んでいた20名の兵士が城に
火を放ち、呼応して舞い戻ったギリシア軍によって一気に
トロイは陥落してしまいます。つまり、戦利品として有益
であるはずの木馬は、だましであり逆に大きな不利益をも
たらす。このような所から「トロイの木馬」と名付けられ
ました。
事実、ツールとしてしっかりと働きつつ、裏では情報を
流出させるなどユーザーとしても発見がしにくく、ツール
はマイナーが多いということでアンチウイルスソフトも検
出が難しく、検出されるものは非常に有名なものに限定さ
れてしまっているのが実状です。
ウイルスバスター、ノートンアンチウイルスなどの最新
定義ファイルでも対応していないトロイの木馬がインスト
ールされていたとして発見するにはどのようにしたら良い
でしょうか?
その、発見・識別・駆除方法を実体験を元に方法を紹介
します。
○トロイの木馬を見極めるには
市販ツールを利用した識別と、自力(と言っても、Windows
の付属ツールを使いますが・・・)での識別と分けて説明
します。
まずは、市販ツールを利用した場合の識別方法です。
トロイの木馬には、ある程度種類に分けることができま
す。システムの破壊を行うもの、パソコン内に記憶された
パスワードを盗むなどのバックドア型、BackOrifice2000
で有名なリモートコントロール型などです。
システムの破壊を行うもの以外は、悪意のある第三者と
のネットワークの仲介を必要とします。ですから、対策と
しては個人用のファイアウォール(パーソナルファイアウ
ォール)を導入して、ネットーワークとの間に防御壁を構
築して通信(外部とのデータのやりとり)を行うアプリケ
ーションの活動を監視することです。(ファイアウォール
を使わない方法も紹介します。)
こうすることで、それらのトロイの木馬がインストール
されていることを発見できます。怪しい行動を行うモノを
特定する方法ですが、インターネットへ接続した時に接続
を要求するアプリケーションは何であろうと警告するよう
にセキュリティレベルを高めておくことです。
やはりデフォルトの設定ではダメな場合が多いです。
どんなソフトもそうですがパソコンは設定が命。
*ポイント*
○ファイアウォールを用いて、インターネットへの接続
要求ソフトウェアをチェックする
そのモノがネットーワークへ接続を要求してきた場合、
ブラウザ、メールソフト、ダウンロードツール、アンチウ
イルスソフトの更新機能を受け持っているツール(LiveUP
Date など)、WindowsUpdate など自分でソフトが行う事
柄の目的がハッキリとわかったものでなければ、その時点
で怪しいです。
つまり、自分で把握していないソフトの接続を許可しな
いということです。さらに「常駐」しているとか、該当フ
ァイルのプロパティを見たら企業の「署名がない」、ネッ
トでファイル名を検索したらウイルスデータベースがヒッ
トしたなど、「予兆」があります。
これらに当てはまるほど、モノはトロイの木馬である可
能性がますます高くなるわけです。
そこで、アンチウイルスソフトの「検疫」を行い該当す
るファイルを提出してみてください。数日から数週間で結
果が返ってきます。すぐに削除したくなるかも知れません
が、もしも勘違いだったらシステムの破壊を自らすること
になりますから気をつけましょう。
検疫とはアンチウイルスソフトがモノを特定のフォルダ
(Quarantine など)に置くわけですが、そこに移動した
ファイルは中身が書き換えられてウイルスやトロイの木馬
として動けなくしてしまいます。
トロイの木馬は、アンチウイルスソフトとファイアウ
ォールを併用することで大部分を排除することができます。
どちらかが欠けてしまっていたらダメです。
Norton Internet Securityなどのパーソナル・ファイ
アウォールでインターネットへの接続を要求するアプリケ
ーションを発見・監視・制限することで、システム破壊系
以外のトロイの木馬は防げます。
ただ、盲点があります。未知のトロイの木馬であった場
合に、アプリケーションスキャンを行うと、そのトロイの
木馬もIEやメールソフト同様にネットへの接続を行うソフ
トウェアであると検出されます。
システムについてのくわしい知識がなければ、トロイの
木馬も正規にファイアウォールを通過できるソフトウェア
に登録し許可してしまう恐れがあります。これは、事実そ
うだった・・・
ですから、自動的に「許可」させるようなことは、有名
アプリケーション以外は、オススメできません。
*注意*
この文章は
[Norton Interneet Security 2001 Version 3.0]
を使用した場合です。
その他の製品では上記内容が実行可能かは知りません。
シマンテック社のウェブサイトでは無料で製品版と同等の
機能を30日間使用できる体験版を配布していますので、気
になる方はそちらを試してみることをオススメします。
http://www.symantec.com/region/jp/
その他、「BlackICE Defender」、「WinWrapper」、
個人使用では無料で良いというのが海外の製品ですが
「ZoneAlarm」、「Sygate Personal Firewall」
などがあります。
○ファイアウォールなしで、トロイの木馬を確認する
MS-DOSプロンプト(コマンドプロンプト)で確認する
ことができます。まず、ネットに接続します。しかしブ
ラウザやメールソフトなどのネットに接続するソフトウ
ェアは必ず終了しておきます。一度でも使用した場合は
再起動してください。
Windows Meの場合
スタート -> プログラム -> アクセサリ-> MS-DOSプロンプト
Windows XPの場合
スタート -> すべてのプログラム -> アクセサリ ->
コマンドプロンプト
起動すると、
C:\WINDOWS>
(MEの場合です。環境によっては異なります。)
と表示されます。
そうしたら、次に
C:\WINDOWS>netstat -a
としてEnterキーを押します。
Active Connections
Proto Local Address
TCP hogehoge:nbsession
UDP hogehoge:nbname
UDP hogehoge:nbdatagram
(hogehoge = コンピューター名などが来る)
netstat -a -n(-anも可)とすれば、hogehogeはIPアド
レスで表示されます。これらの横にも何やら表示されるで
しょうが、これら以外に注目します。
どこかのサイトに接続されていたり、ポートが開いてい
ませんか?
サイトに接続されている、変なポートが開いている。つ
まりは、「State」が「LISTENING」(接続待機中)では
なく、「ESTABLISHED」(接続中)とかはヤバイです。
Foreign Addressが「*:*」とかなっていても、特に問題
なし。
もし、「ESTABLISHED」で「怪しい」モノがあったら、
トロイの木馬かどうかチェックする必要があります。トロ
イの木馬が利用するポートは種類でだいたい決まっていま
す。
もし、このポートが開いていれば「BackOriffce2000」
さんが居るんじゃないかと思うわけです。Norton君では、
31337 54321 54320
はBackOriffce2000に登録されていて、このポートを調べ
られた時にイベントログに「BackOriffce2000 トロイの
木馬デフォルト遮断」と記録されます。たぶん、(笑)
ちなみに、パソコンのポートって「0」から「65535」ま
であります。そのうち「1023」までの頻繁に利用されるポ
ートがウェルノウンポート(推奨ポート)として
IANA(Internet Assigned Numbers Authority)という
機関によって定められています。「HTTP」はポート80番、
「FTP」なら21番です。
代表的なウェルノウンポート
ポート サービス
21 ftp FTP (File Transfer Protocol)
25 smtp SMTP(Simple Mail Transfer Protocol)
80 http HTTP(Hyper Text Transfer Protocol)
110 pop3 POP3(Post Office Protocol Version 3)
137 nbname NetBIOS名
138 nbdatagram NetBIOSデータグラム
139 nbsession NetBIOSセッション
443 https HTTPS
「HTTP」は、「Hyper Text」「Hypertext」が正しいのか?
「HTTPS」は、HTTP over SSL、HTTP Secureとバラバラだし
話を戻して・・・
まずは、アンチウイルスソフトの定義ファイルは最新か
どうかをチェックする。次に、インターネットから接続を
切る。その後、システムを完全スキャンしてみる。
発見された・・・とりあえず、検疫してネットで該当す
るトロイの木馬について調べて、対処する。
発見されない(新種・未知の場合)・・・
同じ運命な可能性大ですな。(笑)
Ctrl + Alt + Delete で起動しているアプリケーション
ファイルをチェックして見慣れない名前、もしくは知らな
いものはすべてチェックする必要があるかと。
Norton Internet Securityを使っているなら、タクスバ
ーから
右クリック>統計を表示>ネットワーク接続 実行可能ファイル
でファイル名が簡単にわかります。
IEは、ファイル名「IEXPLORE.EXE」です。右クリックで
プロパティで見てみると各種情報がキチンとしているのが
わかります。トロイの木馬のような場合は、これらの情報
がいい加減か、ないことがあります。
自分の時はなかったので、ますます「怪しい」というこ
とで、SARC(サーク:Symantec AntiVirus Reseach Center)
に送信しました。どうでもいいけど箱には、以下のような
コメントが・・・
新種ウイルスからパソコンを守る[検疫&配信機能]
未知のウィルスを発見した場合、即座にファイルを隔離し
てインターネットで世界最大のコンピュータウィルス研究
所SARCへ送信。SARCでは、遅くとも24時間以内に解析結果
を回答、48時間以内に新しいワクチン(ウィルス定義)を
あなたのPCに自動配信します。
おおっ、頼もしい。と、思っていたら新しいワクチンと
やらが来たのが2週間後でした。
「この表現は、詐欺に近い・・・」
結果、
パスワードを持っていく型のトロイの木馬でした。
そのほかの、 トロイの木馬 駆除方法
こういった種類のモノは、レジストリのある特定の場所
に痕跡を残します。こういったものは、起動時に自動実行
されなければ意味がないというものです。
従って、自動実行させるように仕掛けがされるわけです
が、普通にアンチウイルスソフトがパソコンの起動時に自
動的に実行させられるトコロと同じトコロに仕掛けてある
ことがほとんどです。
つまり、その仕掛けを取ってしまえば良いわけです。
レジストリ エディタ
C:\WINDOWS\REGEDIT.EXE
このツールで、下記のキーを調べてください。
トロイの木馬が仕掛けられる、レジストリのキー
HKEY_CURRENT_USER\
Software\Microsoft\Windows\CurrentVersion
これ以下の、Run , Runonce
HKEY_LOCAL_MACHINE\S
OFTWARE\Microsoft\Windows\CurrentVersion
これ以下の、 Run , RunOnce , RunOnceEx
これらに、キーとしてトロイの木馬が登録されている可
能性があります。なお、レジストリはWindowsのシステム
設定の最重要ファイルです。改変した結果、起動しなくな
ったということがないように、お願いします。
バックアップを取るのは、常識です。
バックアップは、
レジストリ > レジストリファイルの書き出し
で、行うことができます。
なお、失敗しても知りません。
下記の規定をしっかりと読んでください。
・まず始めに セキュリティ意識の低さについて
・IEの設定 具体的な設定方法と各種危険性の解説
・ウイルス セキュリティーホールを塞ぐ重要性
・トロイの木馬 未知のトロイの木馬を発見・駆除する
・不正アクセス ポートスキャンからパソコンを守る
|
