セキュリティ雑感

<< 　金銭的利益を求める攻撃-WEB系  の続きです。>>

• 何処が境目？分類？　「犯人」側は知ったこっちゃない
• 昔のトロイの木馬、今のスパイウエア
• 注目すべきはセットの攻撃
• ウイルス対策ソフトはスパイウエアは専門でない？
• 合法か非合法か
• 発見時の対処は？ (10.31 22:15更新）
• 防衛は？

何処が境目？分類？　「犯人」側は知ったこっちゃない

何処が境目かなどという技術論、分類論はひとまず置いておきます。それはそれで面白いテーマなんですが、それよりも「複合攻撃」と言うか「連携プレイ」と言うかそちらを押さえて置く方が先だと思うので。

だいたいそんな分類は「犯人」側は知ったこっちゃないでしょう。なんだろうと金がかせげりゃ良いんです。トロイの木馬と言うかスパイウエアと言うか、その中をどう分類するかはこちら側の勝手であちらの知ったこっちゃありません。彼らは単に目的の為に使える道具を使っているだけです。金が稼げりゃいいんです。
「TROJ_AGENTは仲間と一緒に 」などは良い例。また今年のはじめにはこんなトロイの木馬がありました。
トロイの木馬・ウイルス・フィッシングを組み合わせた詐欺メール　2004.1.19

同社は、トロイの木馬ウイルス入りスパムで作られたバックドアからコンピューター・ネットワークに侵入して「オープンプロキシ」を作り、これを拠点にしてさらに大量のスパムを送信する手法をあげている。
　同社の推定ではスパムメールの60～70％が、オープンプロキシ経由で送信されているという。

Downloader.Mimail.B  です。
同じ件でこんな記事も。巧妙化するオンライン詐欺--トロイの木馬・ウイルス・フィッシングの「合わせ技」で　　「ウイルスをダウンロードする詐欺メールが横行」。
似たようなことは去年にも「トロイの木馬」入りスパムが増加中　（2003.8.1）なんてことが。

同じ様な効能を果たすものでも、あるものは「ただのブラウザクラッシャー」として扱われ、あるものは先日掲示板に登場したJs.Trojan.WindowBombのようにトロイの木馬と認定されるものもあります。

　　あのスレッドが怪しいのは質問者が書いたこととそのサイトの罠が一致していないことです。

昔のトロイの木馬、今のスパイウエア

トロイの木馬は最近は整理されてきていますが昔の記事を見てみると面白いです。例えばウイルスより怖い、『トロイの木馬』攻撃の実態　（2001.5.21）の書き出しはこうです。

君のコンピューターの中には、幽霊が潜んでいるかもしれない――『トロイの木馬』と言われるプログラムだ。悪質なハッカーの手にかかれば、これを使って君の行動を密かに調査し、データやコンピューターを破壊し、極端な場合には、事業や人生を破綻させることも可能なのだ。 （下線は引用者）

今はこういう言い方はスパイウエアを語るときに使われていますね。
ウイルスよりたちが悪い？ スパイウェアにご用心　2003.4.14

スパイウェアは、電子メール・ウイルスとスパムのそれぞれ最も邪悪な部分を合わせもち、コンピューターに入り込んでいろいろな悪さをする小さなプログラムだ。

別居、解雇、逮捕の危険も？――ブラウザーを乗っ取る悪質なスパイウェア 2004.5.14

ブラウザー乗っ取りプログラムは、ブラウザーのスタートページを変えるだけではない。ときに、ユーザーの人生をも狂わせてしまう。

やれやれです。WIRED NEWSの記事は事例を知る上では結構良いのだか表現は大夫割り引いて考えなければいけません。

同じWIRED NEWSにあるウイルス神話」の正体を暴露する男　ウェブサイト『Vミス』のローゼンバーガー氏

メディアがあおるコンピューター・セキュリティー不安のヒステリーを排除したもので、セキュリティー企業自体が間違った情報を流した場合、どんな些細な誤りにも異議を唱えている。・・・情報提供者の話を鵜呑みにしただけで、記者が内容を吟味もせずに「事実」として掲載した場合は、罵倒の対象にするのだ。

の方に声援を送りたいですね。大体スパイウエアってほんとにそんなに危険なの？　・・・と言う話はおいといて。（また後で）

注目すべきはセットの攻撃

一般的に注目すべきは迂闊な犠牲者のＰＣに侵入する手段、汎用ツールとしてTROJ系が使われ、それによって送りこまれて金銭的利益を求める攻撃（荒稼ぎ）をするのがアドウエアとかスパイウエアと呼ばれているものであることが多いと言うことでしょう。もちろん送り込まれた特殊工作員が地下アジトを作り無線機を設置してボットネットワークを構築し、アルカイダのように次ぎの大がかりなテロの足がかりにしていることもかなりの確率であると思います。これは次の「荒稼ぎ」の為の投資です。そういうPCを単なる表面的な対処療法だけで放っておかれることはとても迷惑です。

ウイルス対策ソフトがウイルス（これだっていい加減な名前だ）としてシグニチャを作るのはある程度数が出回るものと「黒」と断定出来ることが条件でしょう。ワーム（ここだけ厳密に）のように一気に増殖し感染を広げるものはすぐにセキュリティ対策ソフト会社に見つかりますからトロイの木馬よりは確実に防御出来ます。シグニチャが出来たあとはですがね。 ・・・と言う話もおいといて。（また後で）

ウイルス対策ソフトはスパイウエアは専門でない？

結果的にはそうです。徐々に変わりつつありますが。

ただしそれはウイルス対策ソフト会社がその方面の技術力が劣るとかそういう問題では無いと思います。作り、悪用するテクニックは両者に差など無いのではないでしょうか？　良い例がこれです。

TROJ_TSADBOT　2000/10/25

米国内の各種コンピューター雑誌などで「スパイウェア」として取り上げられたのを機にウイルス対応リクエストが多く寄せられたため2000年公開のパターン785にて検出に対応いたしました。しかし逆にワクチンソフトによる検出により必要以上の混乱を招くケースが多く見られたこと、また、出所が明確であくまでも不正な目的で作成されたプログラムではないことからパターン788にて対応を取りやめました。御了承下さい。

検出していたのは「CONDUCENT TECHNOLOGIES」社が作成した広告用プログラム"TSADBOT.EXE"です。各種シェアウェアなどでの広告表示用に使用されていたようです。バックグラウンドで動作してインターネットへの接続を検出すると「CONDUCENT TECHNOLOGIES」社のWebサイトに接続し、各種広告をダウンロードして表示。しかもこの広告のダウンロードの際にマシンの使用ＯＳ、ＩＰアドレスのみならずある程度の個人情報までもサーバーに送信してしまう場合もあるとのことですから立派なトロイの木馬でありかつまたスパイウエアでもアドウエアでもありました。

一般的にこのようなプログラムを「スパイウェア」、「アドウェア」と呼ぶ場合があります。 ・・・・
あくまでも不正な目的で作成されたプログラムではありませんので特に対応の必要はありません。ただし、このプログラムの機能を理解した上で使用は不必要とお考えの場合はアンインストールをお勧めします。　（下線は引用者）

苦しい胸の内を察してあげましょう。
企業のリスク管理の一分野にリーガルリスクと言うものがあります。単純に言うと訴訟被害リスクですが、その訴訟被害とは訴訟に負けることによる損害ではなくて、訴訟を起こされることによる損害です。
相手を完全に非合法と決めつけられなければウイルス扱いは難しいのです。個人の善悪の価値判断ではありません。こういうこともあるんですから。

合法か非合法か

「スパイウェア」呼ばわりはダメ――Gator、批判者に法的措置も　2003.10.23

広告ソフト会社の米Gatorは、企業イメージを改善する取り組みの一環として、「スパイウェア」というネガティブな言葉と同社の社名との関連を断ち切るべく法的措置を進めている。今のところ、この戦略は効果を上げている。 こうした「アドウェア」は、より効果的に広告を提示するためという名目で、開発元にユーザーのWebサーフィン習慣に関する情報を報告することがある。「スパイウェア」もこれと同様にWebサーフィン習慣を監視し、広告を表示する。アドウェアとスパイウェアの区別は時に漠然としており、Gatorの名誉毀損訴訟の論点もそこにある。

Gatorって結構悪名高い会社です。 こんな処にまでデカデカと載る ぐらいね。McAfeeのAdware-Gator application　も読んでみると面白いです。わざわざこう書いてあります。

感染方法：不明ですが、トロイの木馬やウイルスではありません。

そして2003/10/31には
「スパイウェア」として知られる米Gatorが社名を「Claria」に変更　
です。

と、このへんがまたややこしいのです。
低俗さの代表選手CWS　の場合、CoolWebSearch com は「信頼できる検索エンジン」をうたう身元の明らかな会社でしたが彼らがCWSと総称されるスパイウエア群を作っているわけではありません。CWSと呼ばれるものを作ってばらまいているのは身元不明です。黒ですね。
迷惑ツールバー『Xupiter』の作者 は名前は判っていますが、実に胡散臭い親子で法廷に引きずり出そうと言う人達もいます。しかしそのヨムトビアン側も2001年7月に、米ベリサイン社が彼らの登録ドメイン名2000件を抹消してしまったとして、650万ドルの賠償金を要求して訴訟を起こしたことがありました。
更にそのヨムトビアン親子の会社（Xupiter.comの所有会社）があるハンガリーの法の下ではXupiterに対処できる方法は無い。つまり黒と言いたいが言えないのです。グレーです。

ところがCONDUCENT TECHNOLOGIES社やGator社に至っては、好き嫌いは別にして明らかに合法的な企業なんです。ＰＣの所有者自ら削除するのは何の問題もなくても、第三者であるトレンドマイクロが自動的に削除すると営業妨害で訴えられます。裁判でも勝てる見込みはありません。だからトレンドマイクロはTROJ_TSADBOT　で出所が明確で不正な目的で作成されたものでは無いと認め対応（削除）を取りやめるしか無かった訳です。

Spybotにも削除機能はありますが、オートプロテクトで自動的に削除するのではなくて一旦は検出だけ、次にPCの持ち主がそれを削除することによって起こりうるリスクを調査、ないしは覚悟した上で自分の意志で削除をします。この違いはとても大きいです。まず幅広に検出したって良いですし、CONDUCENT TECHNOLOGIES社やGator社からSpybot開発元が営業妨害で訴えられることを回避出来ます。

圧倒的な検出力を誇るPestPatrolはちょっとでも不審な動きをするものは全て検出すると豪語していたと思います。そのかわりそれがホントに要らないもの、余計なものなのかは自分で判断しろだったと。と言ってもたしかあれはPestPatrolだったと思うんだけど。違ったかな～。今年日本で販売を開始したスパイウエア検出、ハッキングツール検出ソフトってあれしか無いと思うんだけど。・・・ちと自信無し。来週営業を呼んで聞いてみようかしら。フキフキ "A^^;

発見時の対処は？

私はトロイの木馬として何が検出されるかに最大の重点を置いています。それによってどういう入り方をしたか、何が欠けてていたのかを知る為です。未知であろうが既知であろうがセキュリティホール狙いのような比較的高度な侵入手段はほとんどトロイの木馬として検出されるはずです。少なくとも現在では。

それがバックドアやらダウンローダーであれば迷わずＰＣごと隔離、ディスクの初期化、再インストールですね。なんせ軸足は会社内ですから。PC１台よりLAN全体です。丁度江戸時代の大火で火消しが延焼を防ぐ為に家を壊してしまうのと同じです。

個人で他人の場合はスパイウエアやアドウエア自体はその人間の問題です。煩わしくて嫌なら（嫌でしょうが）苦労して削除すれば良いのです。私の問題ではありません。しかしそのPCがボットネットワーク　を構成するかもしれないとなるとその個人だけの問題では無くなります。ゾンビに襲われて殺された人間がゾンビになっちゃうみたいなもんで、ゾンビになっちゃったらそいつが他の人間を襲います。これは防がなければなりません。

ゾンビに襲われちゃったのは不幸なことですが、ゾンビにやられちゃったのはその人間の落ちども有るわけで、それを何の損失、支出もなしに正常な状態にもどして欲しいなんてそんな虫の良い話はありません。
「ウイルス対策ソフトなんかにお金を払いたくありません」
だったらインターネットなんかにつなぐんじゃねー！
「ディスクの中身が消えちゃうのは嫌なんです」
だったらそうならないように最初からちゃんとしとけよ！

と思いません？

いや、それは私個人の感想ですから他の方が別の対応をされるのは全く、全然かまわないんですが。

防衛は？

スパイウエアの防衛はなにやら難しく考えられているようですが、私はそんなことは無いと思っています。Xupiterはセキュリティホールを突いたと言うような記事もありましたがそれは昔の話です。

WindowsであれIEであれOfficeであれ何であれ最新のバージョンに最新のサービスパックを適用し、セキュリティパッチはその月のうちに更新をする。そしてウイルス対策ソフトも使用する。この条件だけでほとんどのトロイの木馬、及びスパイウエアから逃れられるばずです。今ではマイクロソフトが出し抜かれることは滅多にありません。昔は違うイメージを持たれていましたが、おちついて考えると全てはパッチの当たっていないケースでした。

もちろんまれには出し抜かれることがあります。最近の例ではDownload.Jectですね。つい先ほど踏みました。いや掲示板で相談を受けたんですよ。深呼吸してエイとクリックしたら一気に12回もノートン先生が反応しました。そうしたら最後にDownload.Ject　が、おお、これがあの有名な、、、と感動しましたね。（笑）

• ちなみにどんなサイトかと言うとモロにHな「ずっぽり」画像が！　ここまで来たら行きがけの駄賃に、とまたクリックしたらまたバシバシとノートン先生が反応。IEのセキュリティレベルを「高」にしていたので肝心の「ずっぽり」画像は拡大表示出来ませんでした。コンチキショウとHTMLソースを見たらスクリプトで別のサイトへ飛ばしているではありませんか！　MHTMLRedir.Exploit　計５回、Trojan Horse　１６回、Download.Ject　２回と、あれだけの危険をおかしてやっとたどりついたのに、そのサイトにはお目当てのものは置いていなかったのです。詐欺だー！
  まったくとんでもない嘘つきサイトです。(｀ヘ´) プンプン。
  えっ？　怒る方向が違うだろうって？　(,_'☆＼ ベキバキ

と言う訳でIEのインターネットゾーンのセキュリティレベルを「高」にすることで仮にMS04-025が出る前、ウイルス対策ソフトが対応する前でもDownload.Ject　にやられることは無いはずです。
ただし、IE「高」よりまずはWindowsUpdateですね。

過去の「未対応のセキュリティホール」の顛末についてはまた改めて。

最近TROJ_AGENT関連がいやに多いような気がして、関連の過去ログを検索してみました。この手はほんとに厄介ですね。リカバリになったケースがほとんど。特徴は「TROJ_AGENTは仲間と一緒に集団で」ってこと。

そうそう、ドリッパさんからのお知らせです。

回答者ご一同様
TROJ_AGENT.AC について、上記トレンドマイクロ情報ページでは、別名の一つに
Backdoor.Agent.AC を挙げています。
名前から一見、Symantec のものであるかに見えますが、同社ではこの名で命名されていません。
＃ そもそも Backdoor.Agent.AC で検索しても何も引っかかりません。
そして、以下のものが該当するようです。
◆Backdoor.Agent.B
　http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.agent.b.html

タイトル：TROJ AGENTと言うウィルスにかかりました

投稿時間：2004/10/05(Tue) 19:20
http://kosuge.kdn.jp/anti/bbs/bbs.cgi?mode=allread&no=2587&pastlog=0020&act=past

ウイルスバスターを使ってみたところTOROJ　AGENTと言うウィルスにかかっていることがわかりました。
ウィルスバスターでは駆除できないとの事で色々駆除方法を探してみましたがわかりません。

投稿時間：2004/10/05(Tue) 21:45
投稿者名：GAN

タイトルの上のＵＲＬ欄に表示されているのは貴方のサイトですか？
そうは思えないんですけど。
TOROJ AGENT.AC　だけじゃないようですね。

投稿時間：2004/10/06(Wed) 09:23
投稿者名：雨月院さん

まずはTROJ_AGENT.ACのほうから．・・・・
問題はこれがどこから仕込まれたかということです．・・・・・
> URLは違います！勝手にURLにかかれてたみたいです・・・
> TOROJ AGENTだけじゃないとはどういうことですか？
つまり，あなたが意図しないURLを書き込む何かがあなたのPCに仕込まれているということです．
・・・・・
スパイウェア除去ウィザード
http://higaitaisaku.web.infoseek.co.jp/removewz01.html
TROJ_AGENT.ACのレジストリ編集に自信がない，スパイウェアの除去が難しくてよくわからないのであればデータをバックアップした上でリカバリ，というのも有力な選択肢ではあります．

TROJ_AGENTは仲間と一緒に集団でって良い例ですね。また感染者は見つけたものしか頭にないと言う例でもあります。

タイトル：ウイルスに犯されて一週間今だ駆除できません。

投稿時間：2004/10/04(Mon) 00:46
http://kosuge.kdn.jp/anti/bbs/bbs.cgi?mode=allread&no=2503&pastlog=0020&act=past

JAVA_BYTEVER.A
TROJ_AGENT.AC
TROJ_DELF.AR
TROJ_ISTBAR.W
TROJ_PORNDIAL.BP
TROJ_SMALL.EY
TROJ_STARTPAG.AG
TROJ_STARTPAG.NK
の八種類が未だに駆除というか感染後の処理が出来ていません。・・・・
・ホームページが戻しても戻しても変えられる。
・勝手に、インターネットへ接続してしまう。
・インターネットを開いていたら、勝手に閉じてしまう。
・Allready running!!!というメッセージが出る。
・must click yesみたいなメッセージが出る。

これもやられる時は一気に入り込むと言う例ですね。結果リカバリ

タイトル：TROJ_AGENT.AC

投稿時間：2004/09/09(Thu) 16:33
http://kosuge.kdn.jp/anti/bbs/bbs.cgi?mode=allread&no=2025&pastlog=0020&act=past

ウィルスに感染した様子なのでウィルスバスターで検索したところ１００個以上のウィルス&スパイウェアが検出されあるファイル以外は全部削除できましたが、再起動かけてから「TROJ_AGENT.AC」だけ駆除できません。必ず、「c:\windows\system32\ctlod.dll(またはCTLOD.DLL)」に「TROJ_AGENT.AC」あるとウィンドウがでます。処理できませんというメッセージです。
ファイルがあるフォルダーを検索しても、該当ファイルがありません。
また、ウィルスバスターのリアルタイム検索かけても、「c:\windows\system32\ctlod.dll(またはCTLOD.DLL)」に「TROJ_AGENT.AC」10/10と出ます。
どうしたらこのファイル削除できますか？
一応レジストの
「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs の値は毎回削除してますが　c:\windows\system32\ctlod.dll　再起動すると元に戻ってしまいます。
よろしくお願いいたします。

投稿時間：2004/09/09(Thu) 18:28
投稿者名：anjuさん

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_AGENT.AC
には以下の記載があります。
>これは一般的に「トロイの木馬」と呼ばれる不正プログラムの一種です。他の不正プログラムの
> コンポーネントファイルとして使用されます。このプログラムはDLL（ダイナミックリンクライブラリ）であり、基本的に単体では動作しません。他のプログラムに利用され、機能を提供します。
どうやらコイツの原因は以下のヤツですね。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_SMALL.HW
> 特定のサイトから他の不正プログラムをダウンロードおよび実行を試みます。
> このような活動を「ウイルスドロッパー」や「ダウンローダ」などと呼ぶ場合があります。
一番困るタイプ「ダウンローダ」にやられてた様ですね。
> トレンドマイクロ製品では、ダウンロードされるファイルを「TROJ_STARTPAG.DU」 および
> 「TROJ_AGENT.AC」として検出します。
・・また、ダウンローダによって「手配リストにない何か悪い物」が入ってしまったかも知れません。
私の結論は、「リカバリしかありません」

投稿時間：2004/09/09(Thu) 18:37
投稿者名：GAN
タイトル：Re: TROJ_AGENT.AC

> ウィルスに感染した様子なのでウィルスバスターで検索したところ
> １００個以上のウィルス&スパイウェアが検出され
TROJ_AGENT.ACだけが問題ではありません。その100個全てを検証しないと。
詳細はanjuさんが丁寧に書かれていますがこの状態では私もリカバリ以外の道は無いと思います。

これも「仲間と一緒に集団で」の例。

タイトル：W32.Agent.AC.Backdoor

投稿時間：2004/08/26(Thu) 10:17
http://kosuge.kdn.jp/anti/bbs/bbs.cgi?mode=allread&no=1555&pastlog=0019&act=past

W32.Agent.AC.Backdoorというのに感染しているらしいのですが、ウィルス駆除ソフトでも発見できません。ソフトはソースネクストのウィルスセキュリティーです。
何かプログラムを起動するたびに、ウィルス処理警告が現れます。

投稿時間：2004/08/26(Thu) 14:25
投稿者名：GAN

> 4.ソースネクスト　ウイルスセキュリティ2004 (更新済)
> 5.重要とされるUpdateは実行済
> プログラムを起動するたびに、ウィルスソフトから、ウィルスを検知したが処理した旨のメッセージが現れます。
> そこにウィルス名ということで「W32.Agent.AC.Backdoor」が表示されます。そこでこのソフトで、ウィルスの検索をかけるのですが、発見することができないという状態です。
了解です。

> 私としてはこのウィルスを駆除したいのですが、ウィルスの発見もできないので、どうしたものかと困っています。
あくまで一般論ですが、ウイルス対策ソフトが最初から入っていて、つまり初めてインストールしたら感染しているのに気がついたと言う場合を除きかつちゃんと更新されていて、それが検出したならたいていは侵入しようとしたウイルスを見つけてやっつけた、だからPCの中には残っていない。
だもんで、そのあとスキャンしてなかったらそれは良い知らせ。
ってことになります。

ただし、「プログラムを起動するたびに」ってとこで、「はて？」となりますね。
そのプログラムって何ですか？　ウイルスセキュリティ2004のこと？　そりゃさいしょから動いていなきゃおかしいし。
W32.Agent.AC.Backdoorは何者なのか調べようとしても、ウイルスセキュリティのウイルス情報ってこれしか無いんですかね？
http://sec.sourcenext.info/virus/index_list.html
*「ウイルス対策ソフトはなるべくメジャーなところを」ってのはこういうときのことなんですが。

名称：Backdoor.Agent.B
別名: BackDoor-CFB[McAfee], TROJ_AGENT.AC[Trend], Troj/Agent-AC[Sophos], Agent.E [Panda], Backdoor.Agent.ac[Kaspersky]
http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.agent.b.html
なんてのは見つかりますがこれと言う保障も無いです。この別名を見てもらえば判るとおり、ウイルス名は各社バラバラで似ているから同じだろうと言う訳にもいきません。
シマンテックのBackdoor.Agent.Bと同じものである可能性はありますので・・・・

> ただし、「プログラムを起動するたびに」ってとこで、「はて？」となりますね。
> そのプログラムって何ですか？
と思ったのですが、途中でメモリに感染説が。

以前（経験談ですが）メモリ領域に感染してしまったことがあり、そのときはエクセルなりワードなり何でもなんでも良いのですが起動させるたびにウィルス警告が出たことがあります。
・・おっしゃってるのはそういうことかな？

しかし雨月院さんがこういうことだと教えてくれました。知らずに現象だけ聞くと摩訶不思議？な世界に入ってしまいますが、正体が解れば枯れ尾花って・・・、いや枯れ尾花は勝手に人間がパニクッただけで無実の罪ですが、こちらは悪さの実体がありますね。

現象としてはこれと同じことでしょうか．
http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.agent.b.html
> 次の値を
> "AppInit_DLLs"="%System%\(DLL ファイル名).dll"
> 次のレジストリキーに追加することによって、
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
> 現在のログオンセッション中、Windows ベースの各アプリケーションが実行されるたびに、必ず
> Backdoor.Agent.B がロードされるように設定します。

タイトル：BackDoorとStartpageに・・・

投稿時間：2004/08/27(Fri) 00:25
http://kosuge.kdn.jp/anti/bbs/bbs.cgi?mode=allread&no=1577&pastlog=0019&act=past

なぜかプログラムを起動するたびにTrojan horse BackDoor.Agent.BAが見つかったという警告が英語で表示されます。
AVGで検索かけて　ウイルス駆除しようとしましたが駆除できませんみたいなメッセージが出て駆除できません"(ノ_・、)"グスングスン
あと、PCつけたまましばらく放置しているとStartpage.6.AQが見つかったという警告がこれまた英語で表示されます。こちらはAVGで検索して　出てきたり出てこなかったりです（なぜ？）
あと、どちらも出どころはsystem32というファイルからと書いてありました。
BackDoorのほうが　C:\WINDOWS\system32\sqlfp.dll
Startpageのほうが C:\WINDOWS\system32\FABOKGA.DLL
です。

色々やりとりがあって結局、システムの復元が悪さと。全てこうであれば良いのですが。

投稿時間：2004/08/27(Fri) 18:51
投稿者名：GAN

> 今、システムの復元を無効にする　にしてからAVGで検索かけたら
> ウイルスを駆除できたっぽいです。
> 警告メッセージも出なくなったから　直ったんですかね？
えっ！　有効にしたままだったんですか。そりゃ聞き忘れた。
> もうシステムの無効を有効にしてもいいんですか？
一度無効にした段階で過去のは消えますからもう有効でよいと思います。

タイトル：Backdoor.Agent.B

投稿時間：2004/08/12(Thu) 23:47
http://kosuge.kdn.jp/anti/bbs/bbs.cgi?mode=allread&no=1092&pastlog=0018&act=past

Ｃを立ち上げたところ、

「ウィルス警告」
Norton Antiviruがコンピューター上でウィルスを検出しました。
オブジェクト名：C:\WINDOWS\System32\wdmk.dll
ウィルス名：Backdoor.Agent.B
適用した処理：ファイルを修復できませんでした。

という画面がでました。「ＯＫ」をクリックすると今度は、「適用した処理」のところがファイルへのアクセスが拒否されました。に変わりました。警告画面は消えません。・・・・・

追加です。
ウィルススキャンしても、何も検出されません。もちろん最新のウィルス定義でしています。
シンマテックのＨＰにある駆除の方法もやってみましたが変化ありません。

これもちゃんとガードされていそうな、でもなんかすっきりしない事例でした。

投稿時間：2004/08/13(Fri) 00:47
投稿者名：GAN

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.html
で「ユーザがある悪意のあるウェブサイトを訪れる場合」ですからもし「ウィルス警告」が出たタイミングがどこかのＷＥＢサイトを見ているときなら、ノートンがきっちりと仕事をしていると言えるんですが、起動時ですか。ちょっと微妙ですね。
既に感染しているともとれるし、C:\WINDOWS\System32\wdmk.dllが作られレジストリに細工をされた次回起動時にそれが動きだすと言うもので、その最初の起動時にdllが動こうとしてノートンに見つかった。つまりまだ害はなしていなかったともとれます。
効能もなかなか危ない。

－－－－－－－－翻訳引用－－－－－－－－－
.dllファイルは下記能力を持っています:
インターネット・エクスプローラー中のいくつかの機能のコントロールを許可します。
デバッガタイププログラムが実行される場合、チェック。
それらを走査するためにプログラム(SOFTICE)に属するいくつかのファイルへのアクセスを許可します。
コミュニケーション・オブジェクトを使用します。
感染したコンピューターから情報を集めます。
システムおよびウインドウズ一時的フォルダーの名前を聞き取ります。
いくつかのアクションを同時に行なうために自然に同時に5つまでのコピーを実行することができます。
それを削除することができないようにそれ自身のファイルを閉鎖します。

しかし、別名から他のベンダーサイトの日本語ページを見ると
> システム起動時に、DLLがロードされ、レジストリが改変されます。
http://www.mcafeesecurity.com/japan/security/virB.asp?v=BackDoor-CFB
ですから、その瞬間をノートンが見つたのかもしれません。
定義ファイルが常に最新に自動更新されていたならこれに感染と言うことは無さそうな気はします。
見つかったのがこれだけであれば。

他の方はどうですか。でもこれ、少し前にここで出てきたような？

投稿時間：2004/08/14(Sat) 11:30
投稿者名：GAN

2004/08/12(Thu) 23:47
> 適用した処理：ファイルを修復できませんでした。
> ファイルへのアクセスが拒否されました。に変わりました。
> 警告画面は消えません。
2004/08/12(Thu) 23:57
> 追加です。
> ウィルススキャンしても、何も検出されません。
> もちろん最新のウィルス定義でしています。
2004/08/14(Sat) 10:10
> 理由はわかりませんが、
> 今朝、ノートンアンチウィルスが削除しました。

なんかおかしいですね。
私はノートンがこいつが悪さをするのはガードしているとは思っているのですが。
ガードする時点がちょっと？？？です。
「システムの復元」
でもどってしまっていると言うことは無いですか？
もしまた出てきたら上記の方法で一旦無効にしてください。
無効にしっぱなしにする必要まではありませんが。
「システムの復元」に待避されたぶつを削除削除すれば良いだけですので。

トロイの木馬の中にはバックドアとかディローダ、ダウンローダと言われる種類のものがあります。例えば　TROJ_DLOADER.F 。これはＰＣに侵入するとインターネット上の特定のサイトにアクセスし他の不正プログラムのダウンロードおよびインストールをおこないます。
[破壊活動の有無: なし]と書いてありますが、それはこのディーローダーがダウンロードおよびインストールしたものが破壊活動を行うのであってこのディーローダー自身が行うのではないと言うだけの意味です。
戦争の時に敵の特殊工作部隊が侵入するのに使ったゴムボートやパラシュートで侵入して要人の暗殺や軍事施設の爆破をする状況を考えてみてください。
岸に漕ぎ付く前にゴムボートに機銃掃射で穴を開けて沈めた意味はありますが。特殊工作部隊の上陸後に捨て去ったゴムボートを見つけてそれを焼き払ったからもう大丈夫なんて言う人は居ないはずです。でもなぜかウイルスの世界だとそう思う人が沢山居ます。
私のイメージは子供の頃に興奮して見ていた第二次大戦を舞台にした戦争映画なんですが、今風に言うと「ゴルゴ１３が乗り捨てたバイクを破壊してもう大丈夫と思ってる馬鹿」ぐらいでしょうか。
迷わずリカバリをお勧めします。

２００４．９．１5 追記

その後、判りやすい例が出てきました。
WMydoomのSと Tと Vです。 これはワームですがBackdoor.Nemog.B　またはCをダウンロードしてきます。その意味ではトロイの木馬みたいなもんです。
で、Backdoor.Nemog.B　が未知のものだったらと考えてみてください。Mydoom.T  だけ駆除してもう安心なんて思えないでしょう。
次にそのMydoom新亜種が持ち込むBackdoor.Nemog.B ですが。
ランダムに選択した TCP ポートを介してリモートのユーザからの電子メールをリレー配信します。つまり乗っ取りPCとして犯罪の片棒を担がされる訳ですがそれでシステムとネットワークのパフォーマンスが低下するかもしれません。
で、オカシイとオンラインチェックをしようとしても複数のセキュリティ関連 Web サイトへのアクセスをブロックします。つまりチェックできません。
ウイルス対策は先手必勝って例です。

さらにこいつはバックドアを介して攻撃者からのコマンドを待ち、次のことを実行します。
> ・自分自身のアンインストール ・自分自身の更新 ・ファイルのダウンロード
「自分自身の更新 」については翌日にもうBackdoor.Nemog.C　が見つかっています。
Mydoom.T が発見された時点ではこれは未知のトロイの木馬で検出できません。
さらに今ではD,E,F,G・・・とバージョンアップされているかも。
それよりも嫌なのは「自分自身のアンインストール 」ですね。他の種類の爆弾を「ファイルのダウンロード」で持ち込んだあとに「自分自身のアンインストール 」を行われたりしたらもうどんな手段でも追跡は不可能です。証拠は隠滅されます。
でもこれは最近高度化したんじゃなくてハッキングでは昔から常套手段です。気づかれないようにね。サーバの場合は気づかれたらリカバリされてせっかく乗っ取ったのがパーになってしまいますから。いや、私は守る側ですよ、念のため。