☆☆トロイの木馬☆☆
>>342
これイイね。
Exploit-Testまでしてくれる
318のサイト見たけど(You are an idiot!)とかいう単なるブラクラじゃないの。
java scriptを切っていたらなんも出来ん。そうでなくてもオンライン・ショッピングなどを
するんだったら、タブ型ブラウザなどを使って、自分が100%信頼できるサイト以外は
java scriptやactive xなどの設定は切っておけばいいじゃない。
アンチウイルスベンダーはnon-repricable malware(複製品を作らない悪意のあるプログラム)
を大きく分けてTrojan Horseに分類しているけど。Trojan Horseの中でも特に危険な
部類なのが、Sub7などに代表されるBackdoor型のトロイの木馬。やJanet KeyLoggerなどの
Trojan KeySpyに分類されるキーロガー型のトロイの木馬。
そんでもってSymantecは困ったことに複製品を作らない悪意のあるプログラムであまり
有名でないものは全部Trojan Horseとかいう一般的な名前で言うので非常に分かりにくい。
だけど逆に言えばSymantecがTrojan Horseと言う様な名前で検出する場合は、しょぼい
悪意のあるプログラムである場合が多いです。対象のファイルを消してしまえばそれでおしまい。
バスターを常駐させていたのなら私はあまり心配しなくてもいいと思うけど。a2はなんて
名前のトロイを検出したの?取りあえずまだBackdoorが仕掛けられているのか心配なら
>>176でStart up listのログを貼り付けて一度見てもらえば。
これイイね。
Exploit-Testまでしてくれる
318のサイト見たけど(You are an idiot!)とかいう単なるブラクラじゃないの。
java scriptを切っていたらなんも出来ん。そうでなくてもオンライン・ショッピングなどを
するんだったら、タブ型ブラウザなどを使って、自分が100%信頼できるサイト以外は
java scriptやactive xなどの設定は切っておけばいいじゃない。
アンチウイルスベンダーはnon-repricable malware(複製品を作らない悪意のあるプログラム)
を大きく分けてTrojan Horseに分類しているけど。Trojan Horseの中でも特に危険な
部類なのが、Sub7などに代表されるBackdoor型のトロイの木馬。やJanet KeyLoggerなどの
Trojan KeySpyに分類されるキーロガー型のトロイの木馬。
そんでもってSymantecは困ったことに複製品を作らない悪意のあるプログラムであまり
有名でないものは全部Trojan Horseとかいう一般的な名前で言うので非常に分かりにくい。
だけど逆に言えばSymantecがTrojan Horseと言う様な名前で検出する場合は、しょぼい
悪意のあるプログラムである場合が多いです。対象のファイルを消してしまえばそれでおしまい。
バスターを常駐させていたのなら私はあまり心配しなくてもいいと思うけど。a2はなんて
名前のトロイを検出したの?取りあえずまだBackdoorが仕掛けられているのか心配なら
>>176でStart up listのログを貼り付けて一度見てもらえば。
|
|
|
>>367
>既存のファイルはバックアップしても
>感染の心配は無いと思って宜しいのでしょうか
ケースバイケース。ウイルスに感染している場合もありえる。
まずはPCを感染していない状態にしてから、
バックアップをアンチウイルス・アンチトロイ・アンチスパイウェア
ソフトでスキャンするしかないでしょう。
トロイくらったら何も信頼できない。
OSも既存ファイルもアンチウィルスも!
あんまり裏には詳しくないけど、
+アンチウィルスソフトに引っ掛からない
+ポートを開けない(他のポートを乗っとる)
+Netstat、Regeditの改竄
くらいは余裕でできるから
ま、再インストールするかしないかは個人の自由ですが、
踏台にされたりして社会に迷惑かけないでくださいね。
>既存のファイルはバックアップしても
>感染の心配は無いと思って宜しいのでしょうか
ケースバイケース。ウイルスに感染している場合もありえる。
まずはPCを感染していない状態にしてから、
バックアップをアンチウイルス・アンチトロイ・アンチスパイウェア
ソフトでスキャンするしかないでしょう。
トロイくらったら何も信頼できない。
OSも既存ファイルもアンチウィルスも!
あんまり裏には詳しくないけど、
+アンチウィルスソフトに引っ掛からない
+ポートを開けない(他のポートを乗っとる)
+Netstat、Regeditの改竄
くらいは余裕でできるから
ま、再インストールするかしないかは個人の自由ですが、
踏台にされたりして社会に迷惑かけないでくださいね。
OSの再インストール?hmmm.
BackdoorやKeySpyを心配しているなら、OSの再インストールは何の
解決にもならないと思うけど。カード番号などのすべてのパスワードを変えないと。
私は単なるFUDじゃないかと。Backdoor○○という名前で検出されたのなら
ともかく。単なるTrojan Horseで。
私はトロイを使う人がたくさん集まるForumにも時々遊びに行くけど、Symantecの
On Line Scanで検出出来るようなトロイを仕込むのは3流のTrojaner。
優秀な人が仕込んだトロイなら今頃371さんは静かにスパイされていると思うけど。
SymantecのOn Line Scanで引っかかるようなトロイならなんも心配いらんと思うが。
まぁ、370さんが言うようにあなた自身の問題だから。
PS. 今現在最高のrootkitと呼び声の高いH.diffenderなどはWin98では動作しないよ。
Win98はトロイを使う人からも見捨てられたOSかも。
BackdoorやKeySpyを心配しているなら、OSの再インストールは何の
解決にもならないと思うけど。カード番号などのすべてのパスワードを変えないと。
私は単なるFUDじゃないかと。Backdoor○○という名前で検出されたのなら
ともかく。単なるTrojan Horseで。
私はトロイを使う人がたくさん集まるForumにも時々遊びに行くけど、Symantecの
On Line Scanで検出出来るようなトロイを仕込むのは3流のTrojaner。
優秀な人が仕込んだトロイなら今頃371さんは静かにスパイされていると思うけど。
SymantecのOn Line Scanで引っかかるようなトロイならなんも心配いらんと思うが。
まぁ、370さんが言うようにあなた自身の問題だから。
PS. 今現在最高のrootkitと呼び声の高いH.diffenderなどはWin98では動作しないよ。
Win98はトロイを使う人からも見捨てられたOSかも。
Regprot2.0
http://www.diamondcs.com.au/index.php?page=regprot
こいつ入れてみたらめちゃ軽い!Registry監視はこれだけでいいや。
>>404
>Kasperskyはウィルス、トロイ両方とも検知力
>が優れてるらしいが、日本だと情報が全然無い
【Anti Virus】Kaspersky Lab【Firewall】
http://pc.2ch.net/test/read.cgi/sec/1062797137/
>なぜウィルス対策ソフトがトロイ検知にもっと力を
>注がないのかと。
>>396,398の言うように、餅は餅屋という事では。
http://www.diamondcs.com.au/index.php?page=regprot
こいつ入れてみたらめちゃ軽い!Registry監視はこれだけでいいや。
>>404
>Kasperskyはウィルス、トロイ両方とも検知力
>が優れてるらしいが、日本だと情報が全然無い
【Anti Virus】Kaspersky Lab【Firewall】
http://pc.2ch.net/test/read.cgi/sec/1062797137/
>なぜウィルス対策ソフトがトロイ検知にもっと力を
>注がないのかと。
>>396,398の言うように、餅は餅屋という事では。
>>408
TDS-3の体験版はAutoupdateとExecution Protectionの機能が使えないよ。
radius.td3というのはTDS-3の定義ファイルのこと。
体験版は以下のサイトからマニュアルで定義ファイルをアップデートしなければいけないです。
ttp://tds.diamondcs.com.au/index.php?page=update
TDS-3の基本的な使い方は以下のサイトをどうぞ。
ttp://www.wilderssecurity.com/index.php?board=5;action=display;threadid=12743
ttp://www.wilderssecurity.com/index.php?board=5;action=display;threadid=2871
ADSに関してはAnti-Trojanに関してはScan出来るのはTDS-3だけかもしれないね。
その他にはKaspersky Anti VirusやeTrust Anti VirusもADSをScan出来たと思うよ。
但し、ADSに関して言えば、通常合法的な理由でユーザーがADSを使うことは少ないと
思うので、ADSがハードディスクにあるだけでそれは怪しいわけです。
ハードディスクにあるADSをリストアップしてくれるソフトがあれば十分だと思うけど。
ADSをリストアップしてくれるソフトではSysinternalsのStreamなどは有名です。
ttp://www.sysinternals.com/ntw2k/source/misc.shtml
ついでに言えばトロイを使う人やトロイの開発者にとって、StealthもしくはCloaking methodとして
ADSを使うことは一般的ではないです。他にもっと有効なトリックがたくさんあると思います。
TDS-3の体験版はAutoupdateとExecution Protectionの機能が使えないよ。
radius.td3というのはTDS-3の定義ファイルのこと。
体験版は以下のサイトからマニュアルで定義ファイルをアップデートしなければいけないです。
ttp://tds.diamondcs.com.au/index.php?page=update
TDS-3の基本的な使い方は以下のサイトをどうぞ。
ttp://www.wilderssecurity.com/index.php?board=5;action=display;threadid=12743
ttp://www.wilderssecurity.com/index.php?board=5;action=display;threadid=2871
ADSに関してはAnti-Trojanに関してはScan出来るのはTDS-3だけかもしれないね。
その他にはKaspersky Anti VirusやeTrust Anti VirusもADSをScan出来たと思うよ。
但し、ADSに関して言えば、通常合法的な理由でユーザーがADSを使うことは少ないと
思うので、ADSがハードディスクにあるだけでそれは怪しいわけです。
ハードディスクにあるADSをリストアップしてくれるソフトがあれば十分だと思うけど。
ADSをリストアップしてくれるソフトではSysinternalsのStreamなどは有名です。
ttp://www.sysinternals.com/ntw2k/source/misc.shtml
ついでに言えばトロイを使う人やトロイの開発者にとって、StealthもしくはCloaking methodとして
ADSを使うことは一般的ではないです。他にもっと有効なトリックがたくさんあると思います。
>>428
最近では合法的なソフトでもADSを使うものがたくさんあるそうです。ごめんなさい。
428さんが言うようにサムネイル表示などは特に。DiamondCSのサイトのペーパーは少し古いです。
Gavin氏にも直接聞いたので間違いないです。教えて貰ったURL
ttp://www.wilderssecurity.com/index.php?board=5;action=display;threadid=20665
128 bytes以下のADSはすべて無視してもいいそうです。
ADSが何故トロイを隠す方法としてあまり一般的ではないかというと、確かにかなりの
アンチウイルスソフト等からは悪意のあるプログラムを隠すことが出来ますが、
その他のDiagnostic toolを使えば簡単に見つけることが出来るからです。
たとえば>>176のリンク先のStart up listなどや。
今現在最も正確にプロセスとポートをマッピング出来ると評価されているOpenPortsなどを使えば。
ttp://www.diamondcs.com.au/openports/
以下のサイトで11個のProcess to Port mapperの比較があります。
ttp://www.winnetmag.com/Article/ArticleID/40313/40313.html
Beastのようなネットに繋がっているいる時にしかポートを開かないとても賢いBackdoorもたくさん
あるので、Process to Port mapperを使うときにはネットに繋がっている時が望ましいけど。
OSを再インストールすればどこに隠れているトロイだろうが普通完全に消去できますよ。
だからトロイを使う人はトロイを仕掛けていることを犠牲者に気が付かせない方法を日々研究
しているんじゃないのでしょうか。
最近では合法的なソフトでもADSを使うものがたくさんあるそうです。ごめんなさい。
428さんが言うようにサムネイル表示などは特に。DiamondCSのサイトのペーパーは少し古いです。
Gavin氏にも直接聞いたので間違いないです。教えて貰ったURL
ttp://www.wilderssecurity.com/index.php?board=5;action=display;threadid=20665
128 bytes以下のADSはすべて無視してもいいそうです。
ADSが何故トロイを隠す方法としてあまり一般的ではないかというと、確かにかなりの
アンチウイルスソフト等からは悪意のあるプログラムを隠すことが出来ますが、
その他のDiagnostic toolを使えば簡単に見つけることが出来るからです。
たとえば>>176のリンク先のStart up listなどや。
今現在最も正確にプロセスとポートをマッピング出来ると評価されているOpenPortsなどを使えば。
ttp://www.diamondcs.com.au/openports/
以下のサイトで11個のProcess to Port mapperの比較があります。
ttp://www.winnetmag.com/Article/ArticleID/40313/40313.html
Beastのようなネットに繋がっているいる時にしかポートを開かないとても賢いBackdoorもたくさん
あるので、Process to Port mapperを使うときにはネットに繋がっている時が望ましいけど。
OSを再インストールすればどこに隠れているトロイだろうが普通完全に消去できますよ。
だからトロイを使う人はトロイを仕掛けていることを犠牲者に気が付かせない方法を日々研究
しているんじゃないのでしょうか。
Windowsは大文字と小文字を区別して解釈しないから、Internat.exeもinternat.exeも同じ意味だよ。
ttp://www.sysinfo.org/startuplist.php?filter=internat&count=&type=
%windir%\systemにある
普通はC:Windows\System\ もしくは C:WinNT\System32\にある
"?"のアイコンのInternat.exe(Language selection icon in system tray)なら合法的なアプリケーションだよ。
よく悪意のある人物がが悪意のあるプログラムにつける名前でWindowsのSystem Fontは
大文字のアイ「I」 と 小文字のエル「l」は 区別が付きにくいから、
合法的なInternat.exe(大文字のアイ)をまねてlntenat.exe(小文字のエル)のような
名前は悪意のある人物は作るかもしれないけど。
Internat.exeのあるpathや他のアンチウイルスソフトでは検出しないのをみると
恐らくa2の誤検出なのでは?
andreas.haakアットemsisoft.com(アットを@に変えて)、
Internat.exeのコピーをa2の作者にメールで送れば、disassemblyして調べてくれるよ。
題名は「a2's false positive?」とでもして
本文はWould you analyze this program?
とでも簡単に書けばいいのでは。
ttp://www.sysinfo.org/startuplist.php?filter=internat&count=&type=
%windir%\systemにある
普通はC:Windows\System\ もしくは C:WinNT\System32\にある
"?"のアイコンのInternat.exe(Language selection icon in system tray)なら合法的なアプリケーションだよ。
よく悪意のある人物がが悪意のあるプログラムにつける名前でWindowsのSystem Fontは
大文字のアイ「I」 と 小文字のエル「l」は 区別が付きにくいから、
合法的なInternat.exe(大文字のアイ)をまねてlntenat.exe(小文字のエル)のような
名前は悪意のある人物は作るかもしれないけど。
Internat.exeのあるpathや他のアンチウイルスソフトでは検出しないのをみると
恐らくa2の誤検出なのでは?
andreas.haakアットemsisoft.com(アットを@に変えて)、
Internat.exeのコピーをa2の作者にメールで送れば、disassemblyして調べてくれるよ。
題名は「a2's false positive?」とでもして
本文はWould you analyze this program?
とでも簡単に書けばいいのでは。
Kaspersky(antidote)がTrojan Horse(感染活動を行わない悪意のあるプログラム)として
分類している種類。
ttp://www.viruslist.com/eng/viruslist.html?id=13
Trojan.Win32.WingorはKAVの5万種以上のEncyclopediaにも載っていない、しょぼいMalwareだと思われ。
名前から判断すれば対象のファイルを削除してしまえばよい。
削除するのが怖ければ、フロッピーにでも取っておくか、パスワード付きの
Zipの中にでも放り込んでおけばいい。
人それぞれだけど、検出されたのがKAVの命名法でいえばBackdoor,
Trojan.Dropper, Trojan Downloader, PSW.などのようなものでなければ、いきなり
OS再インストールまでする必要はない気がするが。
Trojan=Backdoorだと思う人がとても多いのかも。
分類している種類。
ttp://www.viruslist.com/eng/viruslist.html?id=13
Trojan.Win32.WingorはKAVの5万種以上のEncyclopediaにも載っていない、しょぼいMalwareだと思われ。
名前から判断すれば対象のファイルを削除してしまえばよい。
削除するのが怖ければ、フロッピーにでも取っておくか、パスワード付きの
Zipの中にでも放り込んでおけばいい。
人それぞれだけど、検出されたのがKAVの命名法でいえばBackdoor,
Trojan.Dropper, Trojan Downloader, PSW.などのようなものでなければ、いきなり
OS再インストールまでする必要はない気がするが。
Trojan=Backdoorだと思う人がとても多いのかも。
>>467
私は別にあなたの意見を否定している訳ではないよ。ただ、2chを始めとして
他のセキュリティー関係の掲示板などでも、たとえば、IEのホームページが
アダルトサイトに書き換えられました。とか、デスクトップに怪しいアダルトサイト
に繋がるアイコンが出来ています。なんていう書き込みは本当にたくさん見ることが
出来ます。これは既に悪意のあるコードが実行されているわけだら、他にどんな
悪意のあるコードが実行されていても不思議ではない。でもいきなりOS再インストールを
薦める人は本当に少ない。
せめてHijackThis/StartUpListなどのdiagnostic toolなどで
running processやスタートアップのエントリを調べたり、OpenPortsなどで開いている
ポートを調べてからOS再インストールを考えても遅くは無いと思うので。
KasperskyのアナリストがTrojan.Win32.などと名付けるのは、Browser Hijackerなどと
同等のようなしょぼい悪意のあるプログラムである訳だから。
勿論>>464氏がOS再インストールは何の問題も無い人であるならお奨めです。世の中には
私の父親などのようにOS再インストール絶対しろと言うと泣いてしまいそうな人もいるですよ。
(IEのホームページを書き換えるなどは本当に親切な悪意のあるプログラムだよね。
どんな間抜けな人でも自分のPCの中で良からぬことが起こっていることを知らせて
くれる訳だから、これが静かにスパイするBackdoorなんかだったりしたらもっと
恐ろしいことです。)
私は別にあなたの意見を否定している訳ではないよ。ただ、2chを始めとして
他のセキュリティー関係の掲示板などでも、たとえば、IEのホームページが
アダルトサイトに書き換えられました。とか、デスクトップに怪しいアダルトサイト
に繋がるアイコンが出来ています。なんていう書き込みは本当にたくさん見ることが
出来ます。これは既に悪意のあるコードが実行されているわけだら、他にどんな
悪意のあるコードが実行されていても不思議ではない。でもいきなりOS再インストールを
薦める人は本当に少ない。
せめてHijackThis/StartUpListなどのdiagnostic toolなどで
running processやスタートアップのエントリを調べたり、OpenPortsなどで開いている
ポートを調べてからOS再インストールを考えても遅くは無いと思うので。
KasperskyのアナリストがTrojan.Win32.などと名付けるのは、Browser Hijackerなどと
同等のようなしょぼい悪意のあるプログラムである訳だから。
勿論>>464氏がOS再インストールは何の問題も無い人であるならお奨めです。世の中には
私の父親などのようにOS再インストール絶対しろと言うと泣いてしまいそうな人もいるですよ。
(IEのホームページを書き換えるなどは本当に親切な悪意のあるプログラムだよね。
どんな間抜けな人でも自分のPCの中で良からぬことが起こっていることを知らせて
くれる訳だから、これが静かにスパイするBackdoorなんかだったりしたらもっと
恐ろしいことです。)
本当はトロイ専門スレを別に作成してしっかりとテンプレを作成すべきなのは、百も承知です。
ただそこまでは力量(トロイに対する知識)がないので、後々皆様に参考になりそうなレスを
選ばせてもらいコピペさせてもらいました。
ただそこまでは力量(トロイに対する知識)がないので、後々皆様に参考になりそうなレスを
選ばせてもらいコピペさせてもらいました。