サーバ管理者の覚え書き>>セキュリティ>>2     

まだまだ続くダウンアドの脅威

1月 30, 2009 by admin · Leave a Comment
Filed under: セキュリティ, 更新履歴 

まだまだダウンアドの感染報告が相次いでいます。

1台感染すると、同じネットワーク上なら端末のIPアドレスを+1ずつしてスキャンされ、

瞬く間にWindowsのセキュリティパッチの適用されていない端末に対して、

ウィルスをダウンロードするように命令が送信され、ウィルスがコピーされます。

日頃からのWinodwsUpdateが基本です。

また、パッチが適用されていても安易なパスワードが設定されている端末があると、共有フォルダ経由で感染する現象が確認されています。

十分ご注意下さい。

もし感染した場合は、本サイトでも駆除方法を説明しておりますので参考に。

WORM_DOWNAD(ダウンアド)のページに感染経路について加筆しました。

下記サイトにも図解入りで分かりやすい解説がなされています。

ぜひ参考にしてください。

自分が感染源になる!「ダウンアド」が流行中

関連する投稿

Tags: , ,

Kaspersky Internet Security 2009

1月 26, 2009 by admin · Leave a Comment
Filed under: セキュリティ, ソフト紹介 
 
「Kaspersky Internet Security 2009」

ウィルス・セキュリティ対策ソフトとして私が使っているソフトがこれです。

以前使っていたNotonと比較すると、やや私の主観もありますが、

  • 定義ファイルの更新頻度が高い。

  • ウィルス・スパイウェアの検出率が高い。

  • 動作が軽い。

などが挙げられます。

個人的にはネットワークモニターが気に入ってます。


 どのプログラムが何番ポートで通信しているか見やすく表示されます。

サーバ公開時にポートが開いているか? 逆に不要なポートが開いていないか一目で分かります。

 おすすめ度:★★★★☆

 参考記事

Kaspersky Internet Security 2009 優待版:レビュー  - CNET Japan

 

 

関連する投稿

Tags: , , , , ,

セキュリティ対策

1月 25, 2009 by admin · Leave a Comment
Filed under: セキュリティ, ニュース記事 

最近、広がりを見せているWorm_downad(ダウンアド)。

トレンドマイクロのサイトに新たな情報が書かれています。

系譜から探る深刻度が増した「WORM_DOWNAD」

私の体験から見たその症状と対処方法をセキュリティ対策以下にまとめました。

関連する投稿

Tags: ,

WORM_DOWNAD

1月 25, 2009 by admin · Leave a Comment
Filed under: 未分類 

2008年末から広がっているワームです。

ワームというのは広い意味ではウィルスの一種。ネットワークを利用して自分自身をコピーしたり、パソコンを乗っ取ったりします。

多いのが、Windowsの脆弱性を衝くワームです。

古くは2003年に流行して、住基ネットなどに被害を出したBlasterやSasserなど挙げられますが、ここ最近はなんと言ってもWORM_DOWNAD(ダウンアド)です。

W32.Downadupとも言います。

 

感染経路

 

  •  RPCの脆弱性によるセキュリティホール

  MS08-067のMicorosoftの修正パッチ(下記、関連リンク参照)が適用されていないパソコンはネットワークに接続するだけで、自動的にウィルスがダウンロードされます。

 

  •  Windowsの共有フォルダ経由

   Windows XP Professional は、初期設定で管理共有という特殊な共有フォルダが設定され、管理者パスワードに単純なものを設定していると、共有フォルダを経由して他のパソコンにコピーされます。

 

  • USBメモリのautorun

   USBメモリにautorun.infという自動起動ファイルがコピーされ、接続しただけで自動起動し感染します。

 

以下のような症状が出たら要注意。

 

典型的症状

 

  1. Windowsの起動が遅い、動作・反応がぎこちない、よく固まるなどOS自体が不安定。

  2. WinodwsUpdateやTrendMicro、Symantecなどウィルス対策ソフトメーカーサイトにつながらない。

  3. WindowsUpdateに関連するサービス(Background Intelligent Transfer Service)が無効になる。

  4. Windowsファイアーウォールの例外タブに変な名前のプログラムがランダムなポート番号で登録される。

  5. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5 以下のフォルダに同じサイズ(163kB)の偽装画像ファイル(jpg、pngファイルなど)が複数生成される。

2については、nslookupで名前解決ができているにもかかわらず、pingコマンドをたたくとHost Unknownを返します。通常あり得ない現象です。

WindowsUpdateができないと該当するセキュリティホールを修正できず、ウィルス対策ソフトメーカーの無償駆除ツールも取りに行けません。

別のPCでダウンロードして、移して使ってください。

この際、USBメモリを使う際は、決して他のPCには取り付けないこと。Autorun.infファイルを書きこまれてさらなる拡散につながります。

CDに焼き付けるなど書き込みできないメディアを利用するのが理想的です。

以下、関連リンクです。

対処方法

 

  1. 上記リンクのどちらかから無償駆除ツールをダウンロードして、スキャンをかけてください。

  2. WindowsUpdateでセキュリティホールを修正してください。(Background Intelligent Transfer Serviceが無効になっている場合は、有効にしてください)

  3. それでもWindowsUpdateにつながらない場合は、上記リンクよりMS08-067修正プログラムをダウンロードして手動で適用してください。

  4. Windowsファイアーウォールの例外タブをチェックしてください。アルファベト小文字だけの名前のプログラムでランダムなポート番号のプログラムを例外から削除してください。

  5.  

    パソコンを再起動して、もう一度WindowsUpdateをしてください。重要な更新がなければOK。

  6. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5 以下のフォルダに存在する163kB(固定サイズ)の偽装画像ファイルをすべて削除してください。これらはワーム自身のコピーです。ウィルス対策ソフトでは削除できないことがあります。この際、フォルダオプションで「保護されたオペレーティングシステムファイルを表示しない」のチェックを外さないと表示されません。

  7. インターネット一時ファイルは削除してください。ワームの場合、ここに潜んでいる場合も多いです。これは他のワームにも言えます。

  8. USBメモリ経由のさらなる感染を防ぐために、自動再生を無効にしてください。「gpedit.msc」→コンピュータの構成→管理用テンプレート→システム→「自動再生機能をオフにする」のポリシーを有効にしてください。

  9. ウィルス対策ソフトを入れて、全ドライブをスキャンしてください。無償のものもありますので、必ず入れてください(本サイトのフリーソフトの項目を参照)

  10. 何も見つからなければOKです。他にネットワークでつながっているパソコンがある場合は、念のためウィルススキャンをしてください。

関連する投稿

Tags: , , , , , , , , , , ,

セキュリティ対策

1月 25, 2009 by admin · Leave a Comment
Filed under: 未分類 

このページ以下では、セキュリティに関するサイトの紹介や対策などを記述します。

関連する投稿

Tags: ,