5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

☆☆トロイの木馬☆☆

1 :名無しさん@お腹いっぱい。:03/05/07 02:27
トロイの木馬で侵入されたらしいのですが、
何をされたか調べることはできますか?


241 :名無しさん@お腹いっぱい。:03/12/18 00:34
>>236
ttp://forum.a-2.org/viewtopic.php?t=357&sid=56061ee1b3651cf95b542b2edafb4b16

Common signature update 12/16/2003
Added:
- dialer detection engine
- signatures for 2.7 million dialer and dialer variants

12/16/2003にアップデートしたdialerって具体的になんなんだろうね。
エッチサイトに繋ぐためのものなのかしら。
それにしても2.7millionって単位本当に合っているのだろうか。。。

242 :名無しさん@お腹いっぱい。:03/12/20 21:09
ttp://www.openwares.org/index.php?option=com_remository&Itemid=&func=fileinfo&parent=folder&filecatid=17

IEの脆弱性を解決するためのパッチらしいですが、実際は "malware with a backdoor" だとか。。。


243 :名無しさん@お腹いっぱい。:03/12/20 23:20
>>242
KasperskyでScanしてみたけど、一応何も感染していないと表示されたよ。
ちょっと見ただけだけどかなりエキゾチックなPackerが使われているから
何が起こっても不思議じゃないね。この手の*.exeツールをMicrosoft以外
からダウンロードしてテスト用マシン以外で実行するのは愚かだろうね。

もっとも、私はそのサイトは始めて訪れたけど、日本人でそのサイトを訪れる
こと自体すごく稀なことでしょうが。

244 :名無しさん@お腹いっぱい。:03/12/21 00:10
Common a2 signature update 12/20/2003

Added:
- detection for I-Worrn.Sober.c

ttp://forum.a-2.org/viewtopic.php?t=392&sid=764d9d10bdba496cdc766e2a2a7eff1c
ttp://forum.a-2.org/viewtopic.php?t=394

Sober.a,b,c Wormは面白い。
いったんSober Wormが実行されてmemoryにロードされると
(Exclusive File Lock) によって自分自身がScanされるのを防ぐ機能がある。
memoryにロードされているSober Wormを検出出来るアンチウイルスソフトがどれだけ
あるか調べてみるのも面白いかもね。

a2はAndreas氏がこれだけ宣伝するだけあってa2はProcess Memory Scanできちんと
disinfect出来るのでしょう。
ttp://forum.gladiator-antivirus.com/index.php?s=3bc421fe0134546200bda51f93826f51&showtopic=265


245 :名無しさん@お腹いっぱい。:03/12/21 01:30
>>244


246 :名無しさん@お腹いっぱい。:03/12/21 13:41
>>242
ttp://www.dslreports.com/forum/remark,8838865~mode=flat

backdoorじゃないけど。。。

247 :名無しさん@お腹いっぱい。:03/12/22 21:23
SwatIt update age (updateしたのはじめて見た)

248 :名無しさん@お腹いっぱい。:03/12/23 00:39
>>247
thanx
今a2の方も試用しているけど、アップデートの頻度を考えたら、
SwatItは使いにくいかもしれない。

249 :名無しさん@お腹いっぱい。:03/12/23 01:07
>>248
確かにSwatItはa2にくらべると使いにくい。
・update頻度が少ない(FreeでUpdateするだけで充分ではありますが)。
・スキャン中PCの動作がものすごく重くなる(スキャン中何もしなければいいのですが)。
a2があればSwatItは不要かもしれないが、バッティングするわけでもないので(常駐保護しないから)
併用していくつもりです(結局使う私w)。

250 :名無しさん@お腹いっぱい。:03/12/31 00:28
う〜ん、結局どれが一番いいんだろ?

251 :名無しさん@お腹いっぱい。:03/12/31 00:35
併用するのが良いのでは?(常駐保護させるのはひとつにして)

252 :名無しさん@お腹いっぱい。:03/12/31 00:55
>>251
そうですね。
皆さんはどう組み合わせていますか?
ちなみに私は今a2のみなので、参考までにお聞きしたいです。

253 :名無しさん@お腹いっぱい。:03/12/31 01:36
アンチトロイソフトは
Trojancheck 5(常駐)
Trojancheck 6
a2
Swat It 2.1
他にhijack thisも使っています。
Trojancheck 6はupdateしたのを見たことがないので
(いつもドイツ語で「最新です」と表示される。使い方を間違っている?)
使う必要はないかも?

PFWが1つ、アンチウィルスが2つ(常駐が1つ、非常駐が1つ)、
アンチスパイウェアが4つ(内常駐が1つ)と、
全てフリーソフト。
無料なのはありがたいですが、ソフトの数は多くなります(w
減らそうと思えば減らせるのですが、今のところ快適に動作していますし、
色々なソフトを試すのが半ば趣味になってきています(w

254 :名無しさん@お腹いっぱい。:03/12/31 01:49
>>253
丁寧な回答thx!
trojancheck、ドイツ語で( ゚д゚)ポカーンだったんですぐにアンインスコしちゃったんだよな。
もう一度挑戦してみよう。
こういうソフトって、ドイツのが多いですね。どうしてだろう。


255 :253:03/12/31 02:11
>>254
Trojancheck 5は英語化パッチを当てて使っています。
Trojancheck 5自体が開発終了していますので、
本体も英語化パッチも配布終了しているかもしれません。
(URL貼ろうとしたのですが、見つけられませんでした。)
Trojancheck 6は英語化パッチはないみたいです。
私はここで翻訳して何とか使っています(使えていない気もしますが)。
翻訳サイト集
ttp://homepage2.nifty.com/m_kamada/l_translation.htm

256 :名無しさん@お腹いっぱい。:03/12/31 02:24
>>255
私もググって探してみましたが、どうやらないようですね。
どっかに残ってないのかなあ・・・。

257 :名無しさん@お腹いっぱい。:03/12/31 03:01
>>256
Trojancheck 6 に同じ(と思われる)機能があります。
ttp://www.trojancheck.de/

Trojancheck 6を起動。
 ↓
右下のTrojancheck Wachterボタンを押す。
 ↓
常駐アイコン(中世の楯と剣)が出る。

これでトロイから常駐保護されます(そのはずです)。
ちなみにTrojancheck 5の英語化パッチは警告文が2回に1回は文字化けする
(ドイツ語+文字化けという厳しい状態)という、もうひとつのものです。
タダなので文句は言えませんが。

258 :257の続き:03/12/31 03:19
Trojancheck 6 の常駐アイコン(中世の楯と剣)を右クリック。
 ↓
三行出て来る一番上の行の Anzeigen をクリック。
 ↓
左下の mit Windows starten にチェック入れる。
(後の二つもチェック入れた機能が有効になるようです。)

これでPC起動と同時に常駐保護されるようになります。

259 :名無しさん@お腹いっぱい。:04/01/01 22:24
>>257-258
遅れましたが、ありがとうございます!
早速やりますね。

あと、皆様あけましておめでとうございます。



260 :wakaba:04/01/02 00:30
私は>>257-258さんではないけどTrojanCheck6.02について少し。
TrojanCheck6.02は作者のThomas氏自身が公式サイトでおっしゃっているように
これ以上の更新はないです。
Trojancheck 6 ist die letzte Version von Trojancheck (ja, die 5er sollte es auch schon sein ;)).
Eine weitere Version wird es definitiv nicht mehr geben.

TrojanCheck 6はTrojanCheckの最後のバージョンです。(はい、私はTrojanCheck5.xの
バージョンを最後のバージョンにするつもりでした。)しかし今度はこれ以上TrojanCheckを更新する
つもりは明確にないです。

TrojanCheckの作者のTomas氏は今現在はEwido Security Suite(Anti Trojan Software)の
開発に携わっています。
ttp://www.ewido.net/de/
Rokop SecurityにEwido Security Suiteのレビューがあるけど、スクリーンショットを
見ればよく分かります。
ttp://www.rokop-security.de/main/article.php?sid=672

Ewido Security Suite(ESS)はまだ開発はベータ段階だけどFree版を手に入れることが出来ます。
ESSはモジュールで機能を拡張していけるのですが、今現在はFile Scannerしか機能して
いないです。スタートアップを監視するモジュールやプロセスを監視するモジュールなどの
機能がまだ使えないです。

261 :wakaba:04/01/02 00:31
TrojanCheckの重要な機能である、スタートアップを監視する機能ですが
ドイツ語のソフトは使いにくい人もいると思います。
SSM(System Safety Monitor)はそのsandbox機能にばかり注目されていますが、
スタートアップを監視する機能がありますし。

スタートアップを監視するシンプルなソフトのRegistry Protも有名です。
ttp://www.diamondcs.com.au/index.php?page=regprot
Registry Protはメモリ使用率20kbyte以下、リソース消費(win9x系で)1%以下の
小さなソフトなので昔Win98で使っていました。

<悪意のあるプログラムが書き換えやすいスタートアップの参考資料>
TLSecurityのコピーだと思いますが
ttp://userloader.jayseetk.info/_jojo/docs/docs_uk/Autostart_Methoden.htm
さらに勉強したい人は
ttp://www.dslreports.com/forum/remark,6686853~root=security,1~mode=flat
ttp://www.dslreports.com/forum/remark,6721512~root=security,1~mode=flat

私も、皆様あけましておめでとうございます。

262 :名無しさん@お腹いっぱい。:04/01/02 01:05
ここはいい人が多いなあ…。
また質問で恐縮ですが、trojancheckについて
まだ何か知っておいたほうが便利なことってありますか?

263 :wakaba:04/01/04 01:36
>>262
Registry Prot,TrojanCheckのTipsでよく言われるのはWindowsUpdateの時には
常駐監視は切っておいて方がいいということくらいかなぁ。
WindowsUpdateではスタートアップの項目を沢山書き換えるから、ポップアップが
たくさん上がって煩わしい。Microsoftを無条件で信用する人は少ないけれど
WindowsUpdateでトロイを仕掛けようとはしないと思うから。それくらいは信じて
あげてもいいんじゃないかと。(勿論煩わしくなければオンにしておいていいと思うけど。)

あとはいざトロイが仕掛けられたときにあわてない為に、TrojanCheckの動作を確認しておくとか。
ttp://sh1204.sajthotellet.com/trojansimulator/
TrojanSimulatorはEicar Test VirusのBackdoor版といいますか、TrojanHunterの
CoderのMagnus Mischel氏が無料で提供してくれています。
もっともベーシックなBackdoorの動作をシミュレートする全く害の無いプログラムです。

悪意のあるプログラムが書き換えやすいスタートアップに関して日本語で詳しく
解説されているページを見つけました。素晴らしい解説だと思います。
ttp://www.geocities.jp/bruce_teller/security/leakytrojan.htm
余談ですが、トロイ隠すのにNTFSのADSを使う手法は古くから知られているけど、
何故か現実のTrojanerで使う人は少ない気がします。(別の手法を用いる人が多いかも。)
以下のサイトでもADSに関して詳しく解説されています。
ttp://www.diamondcs.com.au/index.php?page=archive&id=ntfs-streams

264 :名無しさん@お腹いっぱい。:04/01/06 00:36
a2いれたんだけどプログラムの名前がaイって文字化けするのですが…
直せませんでしょうか?(´・ω・`)

265 :名無しさん@お腹いっぱい。:04/01/06 04:04
>>264
>>231,233
仕様のようです。
私のもそうなっています。
使用には差し支えないみたいです。
デスクトップアイコンは名前を変更できますが、
a2使用時のタスクバーにaイと表示されるのは何か身体の力が抜けますが・・・。
フリー版をタダで使っているので、これくらいは仕方がないのかなという気もします。

今、気がつきましたが、updateしてました。
Downloading Signature database 01/04/2004 ...
130 new signatures :)

266 :トロイの木馬:04/01/06 13:47
まさかギリシャ神話のトロイの木馬がここまで有名になるとはな

267 :名無しさん@お腹いっぱい。:04/01/06 17:51
>>265
ありゃ、ちょい前にあったのにもかかわらずありがとう(´・ω・`)


268 :名無しさん@お腹いっぱい。:04/01/06 22:18
>>263
ご教授ありがとうございました!

269 :名無しさん@お腹いっぱい。:04/01/06 23:15
a2を入れてみた。
>>240さんも言っているようにa2はLZHやZIPのような圧縮ファイルの
中身はぜんぜんスキャンしてくれないみたい。
ちょっと(´・ω・`)ショボンヌ


270 :名無しさん@お腹いっぱい。:04/01/07 00:22
Swat Itの方だとSettingタブに"Scan inside archives"の項目があるね
ただ.zipはともかく.lhaの方まで面倒見てくれるのか疑問だが・・・

271 :名無しさん@お腹いっぱい。:04/01/07 00:36
>>269
a2はアーカイバをサポートすることを作者自身が否定的だから、
アーカイバをサポートしていないみたいだね。

>>265
私は今はa2のユーザーではないのですが、
私の記憶が確かならa2は日本語のファイルはきちんと扱えたと思うけど。
文字化けするのはa2のタスクバーの2だけですか?
Andreas氏とは同じForumのメンバーなので今度不具合を報告してみます。


272 :265:04/01/07 01:06
>>271さん
>>231,233,264さんのように
・文字化けしたメールが来る

>You can use the account data to log in to the aツイ Control Center to subscribe to the aツイ Newsletters or purchase a license for aツイ personal :
http://cc.a-2.org


>Sincerely yours

>Your aツイ Team
>www.emsisoft.com

・タスクバーの「2」が「イ」に文字化け(デスクトップアイコンも同様ですが名前変更可能なのでこっちはだいじょぷ)。
他には有りません。
・ソフトの動作そのものには支障ありません(と思います)。

>Andreas氏とは同じForumのメンバーなので今度不具合を報告してみます。
そうしていただけるとうれしいです。
お手数ですが、よろしくお願いします。
レジスト時のメールに返信しようと思ったのですが、
当方の語学力では無理でした。_| ̄|○



273 :269:04/01/07 23:19
>>271
レスサンクス
>a2はアーカイバをサポートすることを作者自身が否定的だから、
>アーカイバをサポートしていないみたいだね。

作者様が否定的ということは圧縮ファイルはこれからもサポートしてくれない
ということなのですね(ノД`)・゚・。
要望しても駄目なのかなぁ。でもせっかく無料で提供してくださっているので
しばらくノートン先生と併用して使ってみます。


274 :265:04/01/08 03:12
>>272に追加です(書き忘れてました)。
・右クリックメニューも「a2」が「aイ」になってます。
別に動作そのものに実害はありません。
>>271さん、遅くなってしまいましたが、
もし間に合うようでしたらよろしくお願いします。
重ね重ねすみません。


275 :名無しさん@お腹いっぱい。:04/01/09 16:55
TrojanCheck6のakzeptierenって同意って意味かなぁ?

つまり監視するか?って聞かれてるのかな

276 :名無しさん@お腹いっぱい。:04/01/09 21:58
>>275
翻訳サイト集
ttp://homepage2.nifty.com/m_kamada/l_translation.htm
akzeptieren=受容=accept

正解。受け入れるか受け入れないか聞かれている。

277 :名無しさん@お腹いっぱい。:04/01/09 23:16
>>273
Anti Virus, Anti Trojanの世界で、圧縮ファイルというと大きく分けて二つの
圧縮ファイルがあるということは知っていますか?
Archive Files と Executable File Compressors(Runtime Packer,Crypter)
ttp://www.securityfocus.com/printable/infocus/1275

Andreas氏の自身のホームページへの投稿"some thoughts about unpacking..."より引用。
リンクを貼りたいんだけど、もう半年以上前の投稿でリンクが残っていないので。

... and I will think about 2 diffrent unpacking issues - unpacking of archives like
ZIP and "unpacking" of runtime compressed or crypted files like UPX, ASPack and Y0da.

I think some of you know my position concerning unpacking of archives. I think its in
fact a useless feature. Malware inside archives are in fact harmless. So I see no
reason to provide any unpacking for them. But if it is wanted I will add unpacking for
ZIP, RAR, ACE and GZIP/TAR/TGZ.(Executable File Compressorsの話しに続く)

...私は2つの違ったunpackingの問題について考えてみよう。- ZIPのようなアーカイブを
unpackingすること、そして、UPX,ASPack,Y0daのようなruntime packerやcrypterを
unpackingすることについて。

何人かの人はZIPのようなアーカイブファイルをunpackingすることに対する私の考え方
を知っていると思います。私はアーカイブファイルをunpackingする機能は無意味な機能だと
思っています。何故ならアーカイブファイルの中にある悪意のあるプログラムは、まったく害の
ないものであるから。それで私はアーカイブファイルをunpacking機能を提供する理由を
見つけることができません。しかし、もしユーザーがどうしても望むのであれば、私は
ZIP, RAR, ACE and GZIP/TAR/TGZ.をunpackingする機能ぐらいはつけてもいいです。(続く)

278 :名無しさん@お腹いっぱい。:04/01/09 23:19
>>273
Andreas氏はアーカイブファイルをサポートすること自体に否定的な上に、LZHにいたっては
彼の頭の中ではTARよりもpriorityが低いわけで。(個人的には私も彼と全く同じ意見だけど)
a2ユーザーもアーカイブファイルをサポートしてくれることをそんなに望んでいないです。
a2 Personalは常駐してのProcess Memory Scan,Advanced IDS,System Firewallなどの悪意のある
プログラムの動作を遮断する強力な機能があるので、アーカイブファイルをunpackingする
機能が無いのはほとんど問題がないけど。

a2 Freeの方は基本的にFile Scanerしか無いから、アーカイブフィイルをサポートしてくれる
ことには意味がある。アーカイブをサポートしてくれたらa2 Personal買うぞ、ゴラァ。って形で
脅せばサポートしてくれそうだけど。それとも、ドイツ人だから日本のAVでも献上しますか。。。。

279 :271:04/01/09 23:57
>>274さん
わざわざありがとうございます。
明日休みなので、もう一度a2を導入してみるつもりなので、
自分の環境でも確かめてから不具合報告書きますね。

280 :名無しさん@お腹いっぱい。:04/01/10 23:28
a2のサイトを久しぶりに訪れたら随分セキュリティーサイトの
様相が整っていて驚いた。

今日見つけたa2FreeのちょっとしたTips
a2Freeをバックグランドでアップデートさせる方法と、ドライブをスキャンさせる方法。
ttp://forum.emsisoft.com/viewtopic.php?t=496&sid=609ab9dce2d586c8e96defb0fb4ac95e

Updater:
/silent --> Do a silent update (if you want to plan the update)

Scanner:
<path> --> Scans the path

Example:
a2scan.exe c:\ --> Scans c:\
a2upd.exe /silent --> Updates without any user interaction


281 :名無しさん@お腹いっぱい。:04/01/11 19:51
オンラインのトロイスキャン
www.trojanscan.com/trojanscan/trojanscan.htm

282 :名無しさん@お腹いっぱい。:04/01/11 21:37
みんな、気分転換にこれをクリックして、みんなでばんじゃーいしてみてくれ。
ttp://pink.jpg-gif.net/bbs/18/img/5337.jpg
誰が作ったんだよ、こんなもの・・・。∩( ・ω・)∩ ばんじゃーい
【いいこと】ばんじゃーい【わるいこと】
http://hobby4.2ch.net/test/read.cgi/bike/1073757543/

283 :名無しさん@お腹いっぱい。:04/01/14 23:59
Common a2 signature update 01/14/2004
+2859 signatures
ttp://forum.emsisoft.com/viewforum.php?f=3&

284 :名無しさん@お腹いっぱい。:04/01/15 00:55
>>283
サンクス
以下のページもブックマークしておくととても便利だよ。
http://www.dozleng.com/updates/index.php?s=44713fbbf6728f97a96c9c601128c23c&act=calendar

285 :名無しさん@お腹いっぱい。:04/01/15 01:29
>>283,284
どうもありがとう。>>284紹介のページ、ブックマークに入れました。

286 :名無しさん@お腹いっぱい。:04/01/17 16:57
a2 signature update
Downloading Signature database 01/16/2004 ...
6 new signatures :)

保守ついでにカキコ

287 :名無しさん@お腹いっぱい。:04/01/22 03:56
SwatItでスキャンしたらIrvineのフォルダの中の、
mmgr_d.dllがDLX Downloaderだと出た。

a2では検出されず。
SwatItの誤検出なのかなぁ…。

288 :名無しさん@お腹いっぱい。:04/01/22 08:41
さっきから10秒に1,2回位トロイ攻撃されてる
何だこりゃ

289 :名無しさん@お腹いっぱい。:04/01/22 13:03
先ほどから一つのファイルにノートンがBloodhound.Packedというウイルスをたびたび検知しています。シマンテックサイトで対応ファイルを落として当てたんですが、まったく効き目なしです。
また、検疫も出来ませんしファイルも削除できません。そのうちに「OK」ボタンを連打しなければならないほど、同時に検知しはじめました。どなたか、対処法を教えいただけませんでしょうか?

290 :名無し:04/01/22 13:17
脳豚はウイルスじゃないものに騙されることがある!!

>>289のは何かの本に対処法が載ってた
www.1193.net/virus/update/031007.html - 2k - 補足結果 -
対処法かどうかは知らんが

291 :名無しさん@お腹いっぱい。:04/01/22 14:39
>>287
俺の場合、アンチウイルスソフトのAntiVirがmmgr_d.dllを検出したよ。
バックドア何とかと書いてたような。
誤検出だろうと思ったが必要なさそうなファイルなので削除しちゃった。

292 :291:04/01/22 14:45
詳しく書くとこれだった。
WARNING: Contains a signature of the (dangerous) backdoor program BDS/Bancodor.B.2
Backdoor server programs !

293 :289:04/01/22 15:42
>>290
ありがとうございます。脳豚の誤検知の確立ありありですね。ただ、「Bloodhound技術を有効にする」のチェックを外してみたんですが、変わりはありません。
なんとか根本的に解決できないでしょうか?

294 :287:04/01/22 16:33
>>291
情報サンクス!
AntiVirでも検出されるんですね。
誤検出かもしれないけど、俺も削除しようっと。

295 :名無しさん@お腹いっぱい。:04/01/22 21:00
>>293,289
>なんとか根本的に解決できないでしょうか?
スレ違いな事をここでいくら聞いてもそれは無理。
ノートンスレなり他所逝け。

296 :名無しさん@お腹いっぱい。:04/01/22 23:22
>>294
一応Kasperskyのオンラインスキャンもやってみ。
それで何も検出されなければ多分誤検出だと思うけど。

297 :名無しさん@お腹いっぱい。:04/01/22 23:23
うっ。リンク書き忘れた。
ttp://www.kaspersky.com/remoteviruschk.html

298 :名無しさん@お腹いっぱい。:04/01/22 23:35
>>293
Bloodhound.PackedっていうのはSymantecの独特の用語で
未知のウイルスやトロイの可能性のあるruntime compressedされた
ファイルをノートンが検出したときに表示するものだから、
293氏がどうやってその対応ファイルをSymantecから落としたのか不思議だけど。

1.)取りあえずセーフモードでスキャンしてみること。

2.)ノートンがBloodhoud Packedとして検出したファイルのfull pathを
 メモする(たとえばc:windows\system32\trojan.exe)ことから始めてみれば。

なんども検出されるのは、対象のファイルがwindowsのsystem file protecter
に引っかかっているのだと思うけど。
 

299 :287:04/01/23 00:57
>>296
ありがと。
オンラインスキャンやってみました。

mmgr_d.dll OK
Known viruses: 80924 Updated: 22.01.2004
File size (Kb): 14 Scan time: 00:00:01
Speed (Kb/sec): 14 Virus bodies: 0
Archives: 0 Packed: 0
Folders: 0 Files: 1
Suspicious: 0 Warnings: 0

やっぱ誤検出かな。





300 :名無しさん@お腹いっぱい。:04/01/23 01:15
>>299
誤検出だと思うよ。Kasperskyでも引っかからないのなら。
Irvineというソフトは怪しいソフトではないのでしょう?
一番いいのは自分の使っているベンダーにファイルを
提出して分析して貰うことだと思うけど。

手っ取り速いのはmmgr_d.dllを取りあえずmmgr_d.dll.backupとでもrenameして、
不具合が出るまで様子をみればよいのでは。



301 :287:04/01/23 02:36
>>300
海外のフリーのアンチウイルスを使ってるので、
提出するにも何処に送っていいんだか(;´Д`)

Irvineは有名なソフトなので、使ってる人はたくさんいるはずですが
Googleで検索してみてもそれらしい情報はみつかりませんでした。

Irvineのreadmeを読むとmmgr_d.dllはmmgr.dllにリネーム後、
irvine.exeと同じフォルダに置いて使うメモリアロケータということ。
これを使うとスピードやメモリ効率が変わるとか書いてる。
通常は使わないものらしいので、削除しても問題ないみたいです。


302 :名無しさん@お腹いっぱい。:04/01/24 20:23
常駐保護できるやつでみんなが使ってるのはTrojanCheckぐらいですか?
TauscanとかTrojanRemoverはスキャン機能だけ?

303 :名無しさん@お腹いっぱい。:04/01/24 23:20
>>302
Tauscanは常駐保護する機能があります。

TrojanRemoverはスキャン機能だけだけど、トロイが書き換えやすい
レジストリ・エントリーもスキャンしてくれます。

軽い常駐保護だけのAnti TrojanならBO Clean(名前の由来はBack Orifice Clean)も
有名だけど、なんせ米軍も採用しているくらいだから。
残念ながら体験版が使えない。(いきなり購入しなくては駄目だから。)


304 :名無しさん@お腹いっぱい。:04/01/25 00:01
>>303
ありがとうごさいます。現在アンチウィルスソフトにeTrustを使っていますが、
トロイの木馬対策としてなにかもう一つ入れてみようかと考えていたところです。
TrojanCheckがドイツ語だということでちょっと抵抗がありまして。
BOCleanですか。よさそうですね。調べてみます。

305 :名無しさん@お腹いっぱい。:04/01/25 00:58
>>304
eTrustというのpromotion版?
eTrustのエンジンVetもInoculateITもRepricable Malware(ウイルスやワーム)の
検出は非常に優秀なんだけど、
Non-Repricable Malware(バックドア、キーロガー、破壊プログラム)といった悪意の
あるプログラムの検出はKasperskyなんかに比べればあまり優秀ではない。
具体的に言えば、Unpacking Engineも優秀ではないし、Process Memory Scanも
装備されていないの。この分野にかけてはInoculateITのエンジンの方が少し優秀だけど。

Trojan Checkはドイツ語で使い難ければSSM(System Safety Monitor)を
試してみれば?無料で英語だし、常駐機能の重要レジストリを監視する機能は殆ど
同じもんだから。

BO Cleanを使っているのはきっと私くらいのものでしょうね。有料だし、
仕事でセキュリティーに携わっているような人でもなければ存在さえ知らないかも。
BO Cleanの一番いい点はOne Licenseで自分の持っているすべてのPCにインストール
することが出来るのがとてもあり難いです。特に私のように5台も自宅にPCを持っている
ような人には。後は作者のKevin McAleavey氏によるサポートは、大手セキュリティーソフト
しか使ったことが無い人には信じられないくらい素晴らしいです。

306 :名無しさん@お腹いっぱい。:04/01/25 01:28
>>305
あなたコテハンになって下さい

307 :名無しさん@お腹いっぱい。:04/01/25 08:40
>>305
eTrustのプロモ版です。で、ご紹介のSSMを入れてみましたが、ちょっと
私にはすぐには扱いきれない感じなので他のものも試してみることにします。

308 :名無しさん@お腹いっぱい。:04/01/25 19:10
はじめまして、質問房ですみませんがよろしくお願いします。
TROJ_ISTBAR.Kというトロイに感染したのですが、どうにも
駆除方法、削除方法がわかりません・・・・
すみませんが、よろしくお願いします。

309 :名無しさん@お腹いっぱい。:04/01/25 22:40
>>308
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_ISTBAR.K
英語なんで訳してみた。原文も読んでね。

解決法
○悪意を持ったプログラムを特定する
トレンドマイクロ製品やオンラインでスキャンし、TROJ_ISTBAR.Kとして検出された
全てのファイルをメモしておく。

○悪意を持ったプログラムを終了する
1.タスクマネージャー起動(NT系ならプロセスタブを表示)
2.起動中のプログラムの一覧から、検出された悪意を持ったファイルを確認する。
3.検出されたファイルのうちの一つを選択し、タスクの終了またはプロセスの終了をクリック
(←Windowsのバージョンによる)
4.検出された全てのファイルに対して上と同じことをする。
5.悪意を持ったプロセスが終了したことをチェックするためにタスクマネージャーを終了、
そしてもう一度起動する。
6.タスクマネージャーを終了する。

310 :続き:04/01/25 22:40
○レジストリから自動起動エントリーを削除する
1.レジストリエディタ起動
2.左のパネルで次をダブルクリックする。
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
3.右のパネルで次のエントリーを確認し、削除する
ISTService = "C:\Program Files\ISTsvc\istsvc.exe"
4.左のパネルで次を確認し、削除する
HKEY_LOCAL_MACHINE\Software\ISTsvc
5.レジストリエディタを終了する。

MEとXPの補足説明→MEとXPはシステムの復元を無効にするように。

○トレンドマイクロ・アンチウイルスを起動する
スキャンし、TROJ_ISTBAR.Kとして検出される全てのファイルを削除する。
(他のインターネットユーザーはオンラインスキャンを利用するように)

311 :308:04/01/25 22:50
>>309-310
本当に有難うございました!
おかげでさまでうちのPCが
立ち直ります。多謝です♪

312 :名無しさん@お腹いっぱい。:04/01/26 01:00
>>309

オマエ実社会でモテルやろー

313 :名無しさん@お腹いっぱい。:04/01/27 22:56
>>256
TrojanCheck Version 5.0.4.1 Final
ttp://web.archive.org/web/20030201085731/http://www.wilders.org/downloads.htm
インターネットアーカイブで検索したら
TrojanCheck5と英語化パッチを
ダウンロードできた。

今さら遅いとは思いますが、
もし必要でしたら落としてみてください。

314 :256:04/01/28 00:35
>>313
遅くないですよ〜
教えてくれてありがとう!

315 :>>313(=255):04/01/28 01:12
>>314
>>255をカキコした時点で見つけていればよかったのですが・・・。
話は変わりますが、a2がじゃんじゃんupdateしてますね。

316 :名無しさん@お腹いっぱい。:04/01/28 03:19
今までこの手のソフトは入れたことなかったけど
常駐モノで入れるとしたら、どれが素人にはいいですか?

スキャンをしてトロイが出てきても駆除するのに難しそうなので
常駐して防いでくれたほうがいいと思うので。

ご教授ください。

317 :名無しさん@お腹いっぱい。:04/01/28 17:40
Patchfinder2試してみたので感想を↓
使 え な い で す 、 今のところ。


これだけじゃアレなんで詳しく書くと、
Patchfinder2はRootkitハッケソツール。
RootkitっつーのはOSからファイルやレジストリを隠したりする次世代トロイの総称。
もろに感染すると普通のアンチウィルスじゃ検出不可。
(ちなみにPatchfinder2では原理的にsub7やらbo2kなんていう前世紀の遺物は発見できません。
そのかわり未知のRootkitも発見可能・・・だと思われ。)

前置きはこの辺にして、まずOptix PRO v1.32を自爆インストール。
見事にPatchfinder2で感染を確認。
Antidoteでは検出不可。
Norton先生は体験版のインスコすら不可。(OptixがNorton先生を殺してしまう)

でここまでは良かったんだか、Patchfinder2は未完成部分多杉。
まずCUIなのでめんどくさい。
誤検出が多い。(スタートアップや常駐アプリが多いと駄目ぽ)
誤検出は設定変えればかなり防げそうだけど、
ソース書き換えてコンパイルしなきゃならんのでマンドクサ

以上体験レポートですた。(何度も再起動したりしてすげー時間かかってしまった)
参考にどぞ。
[Patchfinder2]
[1]ttp://rootkit.com/vault/joanna/rootkits_detection_with_patchfinder2.pdf
[2]ttp://www.rootkit.com/vault/joanna/patchfinder_w2k_2.11.zip
[1]は動作原理などのドキュメント
[2]は本体

318 :落人:04/01/28 22:48
すみません、どなたかお助け下さい。
祭りスレで下記のアドレスを踏みました。
>エフティティピィコロン//www.albinoblacksheep.com/flash/you.html

トロイのようですが、自分のバスター2004でトロイは検出できませんでした。
バスターの検索エンジン6.810、パターンファイル1.747.00
自分のOSはWin98SEです。

トレンドマイクロからの回答がまだ無いので不安です。

319 :名無しさん@お腹いっぱい。:04/01/28 22:51
エフティティピィ?

320 :落人:04/01/28 23:03
>319
あ、すいません。
動画をFFFTPで落としていたので、素で間違えました。
頭がウニだったみたいです。

321 :名無しさん@お腹いっぱい。:04/01/28 23:04
ブラクラじゃねーの?症状ぐらい書け

322 :落人:04/01/28 23:17
>321
申し訳ありませんでした。
上記のアドレスを踏んだ所、
ピースマークみたいな画像が3つほど並んだウィンドウが
「わっはっは〜」みたいな感じで笑いながら画面上を逃げていきます。
ウィンドウを閉じようとしても素早く逃げ回るので閉じられず
スタートメニューのWindowsの終了で閉じました。
その後、再起動してパターンファイルを最新にしてvirusスキャンしましたが
virusは発見されませんでした。

同じアドレスを踏んだバスターユーザーの話だと、同様にvirus検出されず…
ノートンは弾いてくれたケースとダメだったケースに分かれました。
その後、どんな症状が出ているのか報告はありません。
自分のPCにもまだこれといった変化は見られません。


323 :名無しさん@お腹いっぱい。:04/01/28 23:44
>>322
二度と踏むな。そんだけ。

324 :名無しさん@お腹いっぱい。:04/01/28 23:50
>>322
このスレ読んでアンチトロイソフト入れて
対策したら?
フリーソフトでいけるよ。
>>316
>>313が常駐。開発が終了しているのでa2なりSwatItなり
update可能なソフトも入れた方がいいと思う。

325 :316:04/01/29 00:35
>>324さん
ありがとう。
a2に挑戦してみます。

326 :名無しさん@お腹いっぱい。:04/01/29 01:08
>>317
>RootkitっつーのはOSからファイルやレジストリを隠したりする次世代トロイの総称。
>もろに感染すると普通のアンチウィルスじゃ検出不可。
>(ちなみにPatchfinder2では原理的にsub7やらbo2kなんていう前世紀の遺物は発見できません。

317さんこんにちわ。Rootkitはいつから次世代トロイの総称になったの?
いやまぁ、複製品を作らない悪意のあるプログラムという意味ではトロイなのかもしれないけど。
RootkitにはRootkitというジャンルがあるような。。。(いや、私がおかしいのか?)
いや、トロイにはもう興味があまり無いんだけど、WindowsのRootkitはまだまだ勉強中です。

Patchfinder2はトロイなどの悪意のあるプログラムを隠す、rootkitを発見してくれる
プログラムだよね。
317さんはどのRootkitをcompileしたの?私はH・DefenderとFU Rootkitしか使ったことが無いんだけど。
Patchfinder2は数少ないこれらの最新のRootkitも発見してくれる貴重なツールだと思うけど。

>Antidoteでは検出不可。
遠慮せずに今現在この地球上にあるどのAnti Virusソフトを使っても検出出来ないと言えばどうでしょう。
少なくとも私の実験ではOptix Proがそうなりました。これは知り合いのPCにトロイを仕掛けると時などに
特に有効なのかな。

327 :名無しさん@お腹いっぱい。:04/01/29 01:14
これは昨日見つけたexploitだけど、トロイを使う人には実に興味が沸く
逸品なんではないでしょうか。。。

ttp://www.securitytracker.com/alerts/2004/Jan/1008843.html
あな、恐ろしや。

328 :324:04/01/29 02:02
>>325
ちなみに私はTrojanCheck 5(>>313で落とせるもの)も
a2もSwatItも併用しています。
a2とTrojanCheck 5を併用されると良いと思います。

329 :名無しさん@お腹いっぱい。:04/01/29 02:03
ttp://www.dozleng.com/updates/index.php?s=44713fbbf6728f97a96c9c601128c23c&act=calendar

最近強力なワームやトロイが大繁殖しているせいか>>315さんも言っているように
a2が怒とうのアップデートをしているね。a2なかなかいいかも。
アップデートを確認するサイトやa2を紹介してくれた人サンクス。
ついでにTrojanCheckの英語化パッチも紹介してくれてありがとうヽ( ̄▽ ̄)ノ

330 :名無しさん@お腹いっぱい。:04/01/29 02:16
起動時にmIRC32ってのが動く。
外人の顔写真入り。

331 :名無しさん@お腹いっぱい。:04/01/29 08:04
>>327
俺が仕込むときはいつもWinの穴だな。
基本的に受動的アタック&泣き寝入り作戦で。

ダウソ板の連中みたいな香具師が主なターゲット。
もちろん2chはlogとってるから利用しないけど、
違法系サイトからTrapページに誘導→感染させる。

一時間に百匹くらい釣れるから固定IPだけ選んで串に利用する。
っツー訳なので違法系サイトとWindows使う香具師は木をつけろw
#最近ならTrapページじゃなくてリモートから直に逝けるな
#この書き込みはふぃっくっしょんです。
#>>330は完全にアウトだと想う

332 :名無しさん@お腹いっぱい。:04/01/29 08:53
>322 です。
書き込みの後にシマンテックでオンラインスキャンしたら
>警告! スキャンがコンピュータのメモリ上でアクティブなウィルスを検出しました。
>さらに感染するのを防ぐためにスキャンを終了しました。
>すぐにコンピュータをシャットダウンし、ウイルス対策の救済ディスクまたは同様のツールを使って再起動してください。

>メモリ上でウィルスは見つかりませんでした。
>コンピュータは何らかの既知のウイルスまたはトロイの木馬に感染しています。
>シマンテック・セキュリティ・レスポンス サイト上で以下にあげられたウイルスの名前を削除情報として検索します。

> スキャンを終了する前に中止しました。このコンピュータ上にはさらに感染ファイルがあるかもしれません。
>スキャンを実行していません。 ウイルス検出を開始するには、 ここをクリックします。.

どうやら感染している模様、検出されたウィルスは「Trojan Horse」と「VBS.LoveLetter.CI」
シマンテックで調べましたが、同一のウィルス名がなくて削除方法が不明。
今日は仕事なのでこのまま放置して会社に行くしかないですね。
バスターだけに頼り切っていた自分の不勉強を反省。
>324  はい、頑張ってみます。


333 :名無しさん@お腹いっぱい。:04/01/29 17:04
a2かっこいいね
eTrustと併用します

334 :名無しさん@お腹いっぱい。:04/01/30 02:03
a2の使い方がわかる日本語のHPあれば教えてー
ぐぐってもでてこない〜〜

335 :名無しさん@お腹いっぱい。:04/01/30 04:05
>>334
free版だったら解説いらないだろ。
スキャンしたいフォルダにチェック入れてスキャンするだけじゃん。

336 :名無しさん@お腹いっぱい。:04/01/30 04:05
>>318
それのソースだけど、これ感染するの?

<html>
<head>
<title>You are an idiot!</title>
<script language="Javascript" src="../script/you.js"></script>
</head>
<body bgColor=#ffffff onload="flagRun=1;playBall();return true;bookmark();" onKeyDown="altf4key();ctrlkey();delkey();" onUnLoad="procreate()" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0" width="100%" height="100%">
<param name=movie value="youare.swf">
<param name=quality value=high>
<embed src="youare.swf" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash" width="100%" height="100%">
</embed>
</object>
</body>
</html>


337 :名無しさん@お腹いっぱい。:04/01/30 16:28
>>334に便乗して、>>313のTrojanCheck5の使い方も教えて欲しいっす

338 :名無しさん@お腹いっぱい。:04/01/30 16:58
>>336
偶然(必然?)ダウソ板で関係ありそうなスレ発見。
http://tmp2.2ch.net/test/read.cgi/download/1074901853/751-

339 :名無しさん@お腹いっぱい。:04/01/30 21:37
ttp://www.albinoblacksheep.com/flash/you.html

を踏んで、「ウィルス警告」と言われたYO…。
下記のサイトから対策が出来ますと書いてあったのでそこで
http://www.symantec.com/region/jp/sarcj/download.html を落として実行しました。
激しくトロイですか?

340 :名無しさん@お腹いっぱい。:04/01/31 07:12
TrojanCheck5は開発終了してるから入れても意味無いよ。
新しいトロイは発見できない。昔の古いトロイだけ。

344 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)