アカウント名:
パスワード:
まずレジストリ中の特定の場所に指定されているプログラムをチェックする。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run とか代表的だけども、いくつもチェックするところはある。省略。
たしかにこれは有用なんだけど、レジストリのキー自体を隠すやつもいるんで、そういう場合は発見は困難でしょう。
# その技術を使った有名なものはSony XCP rootkit
まぁ、ウィルス対策ソフト入れてるだけみたいな手抜き管理 しないで事前にきちんと侵入への対策とっていればそんな苦労することはないですね。
本来、そういった侵入の対策をこそウィルス対策ソフトにやってほしいのですが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
発見する方法 (スコア:0)
専用サーバも運営していますが、みなさんはどう検知しているのでしょうか?
Re:発見する方法 (スコア:1, 興味深い)
毎日それをチェック。
…ぐらいしか思い浮かびません。
(量がすごいことになりそうですが)
Re: (スコア:0)
元コメから類推するに、(フリーな)ホストベースのファイヤーウォールを入れて
意図しない通信を遮断、チェックすれば発見出来るでしょ
既存プロトコルに乗っけてると厄介だけど、通信先や頻度、内容で判断出来るだろうし
# ZoneAlarm とかまだ主流?
Re: (スコア:0)
PC上で動くプログラムがVirusによって停止させられるのはよくあること。
#ZoneAlarmの検出と停止なんて定石ですよ
Re: (スコア:0)
実際停止されて気づけないものなの?
基本挙動検知で、自衛派なんで気づけないように
止められる方法があるなら、やり方変えないといけないんで…
Re:発見する方法 (スコア:1)
ものだとは言え、未知の脆弱性をついて侵入されるものではないでしょう。
だからWindowsやアプリケーションのパッチをあてて最新版にしておくのは
基本として、サーバーだったら余計なポートを開かずに、そこから外部に
IE等でアクセスするようなことをしなければ入ってくることはないでしょう。
ごくごく普通の対応で十分。
QuickTimeとかAdobeReaderとかRealPlayer等の頻繁に脆弱性が発見される
ものは入れないようにすると楽かも。
ファイルサーバーで得体の知れないファイルが出入りするっていうなら、
それは既存のセキュリティ対策ソフトでスキャンすれば十分検知できるし
ウィルスがあっても実行しなければただのデータの塊でしかない。
レジストリを改変するタイプのウィルスなら、レジストリへの書き込みを
チェックしていれば侵入を防いだり直したりするのは楽。
ブートセクタ感染型についてはブートセクタを書き込み禁止にしておく。
で、そこまで苦労したくなかったらWindows以外のOSのサーバーにするのを
検討したほうがいいかも。
Re: (スコア:0)
Re:発見する方法 (スコア:2, 参考になる)
まずレジストリ中の特定の場所に指定されているプログラムをチェックする。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
とか代表的だけども、いくつもチェックするところはある。省略。
当然ウィルスでないプログラムもあるので一つ一つ地道にチェック。
知らないプログラムがあればぐぐる。ぐぐっても分からない場合も多いけど。
あと、ウィルスが動いていると、レジストリの項目を削除してもシステム終了時に
また書き込まれることがあるので、セーフモードでやると吉。
過去に見たウィルスでは、SCSIドライバーとして登録されているものがあって
これは発見したけども自分の技術レベルではどうやっても手動でファイルを削除できなかった。
ちなみに対策ソフトで駆除できた。HDDを別のマシンにつなげればファイルの削除はできると思う。
次に、ファイルのチェック。c:\ 、c:\windows、c:\windows\system32 等の
いくつかのシステムディレクトリや、c:\Document and Settings\"アカウント名"\以下のディレクトリ、
c:\Document and Settings\All Users以下もだけども、その辺にウィルスが置かれていることも
多い。これもファイルのタイムスタンプが結構手がかりになる。
どこを見ればいいかというのは、沢山あるのでいちいちコメントで書ききれないので省略。
IEのキャッシュディレクトリなんかよくウィルスが置かれているけども、クライアント機の
話だからサーバーではどうかねぇ。
システムディレクトリにあるプログラムで、MS製やメーカー製のものは
基本的には署名が入っているので、プロパティを見てみるといい。
偽装する可能性もあるので完全には信用してはいけないけども。
署名がないのはウィルスの可能性が高い。
あとは、手動とちょっと違うけども、HijackThisを使って見つけるとか。
参考:HijackThisによるログの取得と、不正エントリの修正(fix)方法 [higaitaisaku.com]
OS起動時ではなくIEを使った時点で動作しはじめるみたいなマルウェアもあるのよ。
数年前にはやったなー。
とまぁ、いろいろ書いてみたけど、ファイルをチェックする方法では、
ウィルスに感染した時期を基準にHDD内を全部検索してみれば、
ウィルス感染した後のものがずらずら出てくるのよね。
経験では、BOT系のウィルスはCドライブに感染するものばかりで
D以下のドライブへの感染は見たことがないけど、例外は何事にもあると思うので注意。
あとは、TCP/IPのダンプ取って調べるとか、netstatで調べるとかあるけど、
netstatの使い方は「netstat ウィルス」あたりのキーワードでぐぐってねということで。
何がトリガーとなって起動するか分からないウィルスだと、最終手段は通信を
モニタリングして活動をチェックすることになりますね。
ファイルがウィルスかどうか判断するのは、リバースエンジニアリングするなどして
解析する話ですが、その辺になるとサーバー管理とかのレベルじゃないんで
やっぱりぐぐれかすということで。これはこれで話のネタとしては面白くて
これだけで本が書けるくらいというか、ここが一番面白いと思うのですが、
まぁ、セキュリティソフトのメーカーに怪しいファイルを検体として
送って調べてもらうのがいいんじゃないでしょうか。
ブートセクタ感染型は多分手動で調べるのは無理というか大変なので
素直にソフトを使ってくださいということで。
いやーあんまり参考にならないですね!
Re:発見する方法 (スコア:1)
たしかにこれは有用なんだけど、レジストリのキー自体を隠すやつもいるんで、そういう場合は発見は困難でしょう。
# その技術を使った有名なものはSony XCP rootkit
Re:発見する方法 (スコア:2, 参考になる)
というやり方はrootkitには対応できないですね。
その辺はもうrootkit検出ソフトを使ってくださいとしかいいようがないですね。
Windowsだと、Sysinternals(MSが買収)のRootkitRevealerとか、
セキュリティソフト各社が出してる検出ツールがありますね。
F-SecureがBlack Lightってツール出してて私も使ったことありますが
今見に行ったらどこにおいてあるか分からない……と思ったら、
アンチウィルスのソフトに統合しちゃったみたいですね。
あとは昨年トレンドマイクロがルートキットバスターを出していますね。
これは使ったことがないですが。他社も最近はrootkit検出を
アンチウィルスソフト本体に統合しているようですね。
この辺使って検出できないって話なら、HDDを取り外して
別のPCにつないでそちらでチェックするしかないですかねぇ。
今Wikipediaのページ [wikipedia.org]見てたら、その一番下にソフトへのリンクがありますね。
まぁ、ウィルス対策ソフト入れてるだけみたいな手抜き管理しないで
事前にきちんと侵入への対策とっていればそんな苦労することはないですね。
Re:発見する方法 (スコア:1)
Sophosの [sophos.co.jp]でした。こちらは今でもDLして使えます。
Re: (スコア:0)
本来、そういった侵入の対策をこそウィルス対策ソフトにやってほしいのですが。
Re: (スコア:0)
ボットを探すために立ち上げているサーバじゃね?
今まではアンチウィルスで引っ掛けて見つけていたらしいから。
# 半分冗談ですよ > 元AC
Re:発見する方法 (スコア:1)
明らかに日々変更されるディレクトリやファイルはチェックからはずす。(アラートが上がりすぎるとチェックが甘くなる)
アラートが上がった場合、意図された変更なのか確認する。
linuxの場合はパーティションを適切に分けて実行ファイルが置かれるはずのないディレクトリはnoexecオプションを追加する。
ってだけでずいぶん違うと思います。