セキュリティ初心者質問スレッドpart41

1 ：名無しさん＠お腹いっぱい。：04/05/12 16:01

セキュリティ関係の質問スレです。
セキュリティ以外の質問は該当する板へ移動して下さい。

＜参考＞
・分類不明の質問→[PC初心者板] http://pc5.2ch.net/pcqa/
・２ちゃんねる仕様→ http://etc.2ch.net/qa/

＜質問前の必須事項＞
※以下を無視すると回答してもらえません。

「FAQ/関連リンク確認」>>1-20あたり

「類似質問の検索」
・Googleを利用 →http://www.google.co.jp/
・ページ内検索 →Win:[Ctrl]+[F](Mac:[コマンド]+[F])
・過去ログ/関連スレの検索
→[2chスレッド検索] http://www.ruitomo.com/~gulab/k.html

＜質問時の注意＞
・OSやソフト名、バージョン、サービスパック適用の有無、
ウィルス対策の有無、接続形態、装置名などを詳しく明示。
（例）「WinXPSP1,IE6SP1使用。ADSL回線でプロバイダは～。
　　～のルータを導入しているが、～ができなくなった」等

▼━禁止事項 ━━━━━━━━━━━━━━━
・マルチポスト(複数の板・スレで同じことを質問)
・情報の小出し(始めにOSやソフト名等を必ず明示)
・違法な話題や質問(WinMX,Winny,エミュレータ等)
・薮パソユーザーは立ち入り禁止。HNを変えてもダメです

2 ：名無しさん＠お腹いっぱい。：04/05/12 16:01

3 ：名無しさん＠お腹いっぱい。：04/05/12 16:02

【お約束】
・ブラウザ
IE5.5SP2かIE6.0SP1を推奨。新しいIEに乗り換えること。
IE 5.5の方はSP2にアップデートの後、各種パッチを適用。
IE以外のNetscapeやOperaを利用する手もあり。

・怪しいメール
開かずに捨てる。IE5.01SP2,IE5.5SP2,IE6.0以上でなく
Outlook Expressを使用している場合、メールクリック時に
感染する場合があるので、プレビュー機能は必ずオフ。

・ウィルス対策ソフト
定期的にパターンファイル(ウィルス定義ファイル)を更新。
感染する前に定期的にウィルスチェック。

・不審なURLの鑑定→ラウンジhttp://ex6.2ch.net/entrance/ へ。
「勇気」「鑑定」等のキーワードで鑑定スレを検索。

※view-source:http://～としてソースを表示させると、
　Javaスクリプト等が実行されないので安全。
※初心者が誤ってクリックしないよう、
　ウィルスやブラクラへ直接リンクを張らないこと。

・リンク先を直接見る
「対象をファイルに保存」→メモ帳で一度開いてみる。

・アダルトサイト対策
[インターネットオプション]-[セキュリティ]タブ
-[インターネット]-[レベルのカスタマイズ]
- ActiveX、JAVA、スクリプトを全て無効

4 ：名無しさん＠お腹いっぱい。：04/05/12 16:02

【IE(Internet Explorer)】
・IEのスタートページと検索のページが書き換えられた
　1.ウィルス検索。（Trojan.JS.Offensive等の感染がないか）
　2.msconfigかレジストリエディタで不審な常駐ソフトを解除。
　3.[インターネットオプション]-[プログラム]タブ
　 -「Webの設定のリセット」-「はい」を実行
　4.PC再起動。

　※直らなければ、レジストリエディタ起動。書き換えられた
　リンク先を検索し、1つずつ安全なリンク先に書き戻していく。

・アダルトサイト閲覧中のトラブル
　～デスクトップに怪しいショートカットのアイコンが出現～
　1.右クリック-[プロパティ]-「リンク先を表示」をクリック。
　表示されたファイルをアイコンとともに削除。
　2.msconfigかレジストリエディタで不審な常駐ソフトを解除。

＜参考＞
・エロサイト見たら･･･助けてください！
http://pc5.2ch.net/pcqa/
・くだ質FAQ
http://members.tripod.co.jp/nekohako/secfaq.html
・WEBPOPUPからメッセージ貰った人
http://pc5.2ch.net/test/read.cgi/sec/1035271935/l50

5 ：名無しさん＠お腹いっぱい。：04/05/12 16:03

【OE(=Outlook Express)】
・OEのプレビューをオフ
　[表示]-[レイアウト]-「プレビューウィンドウを表示する」
　のチェックを外す。

・OE6で添付ファイルが開けない
　「添付ファイルは安全でないため……」と表示される。
　 [ツール]-[オプション]-[セキュリティ]タブ-「ウイルスの
　可能性がある添付ファイルを保存したり開いたりしない」
　のチェックを外す。

・OE以外のメーラーならウィルスメールを開いても安全か？
　IEコンポーネントを利用してHTMLメールを表示する場合はご用心。

　→[おすすめのメールソフトは何？]スレ参照
　http://pc5.2ch.net/test/read.cgi/software/1075136971/

　OE(又はIEコンポーネント使用メーラー)の問題点とその対策方法
　http://pc5.2ch.net/test/read.cgi/sec/1021363841/

　IE6SP1適用済みOE6ならHTMLメールをテキスト形式表示可能
　http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20021007/1/
　http://www.ipa.go.jp/security/txt/2002_10.html

6 ：名無しさん＠お腹いっぱい。：04/05/12 16:03

【IPアドレス】
・自分のIPアドレスを確認
　9x系：[ファイル名をしてして実行]→winipcfg.exeを実行。
　NT系：コマンドプロント起動→ipconfig /allを実行。

・他人のIPアドレスを確認
　MS-DOSプロンプト(コマンドプロンプト)を起動して、
　netstat -anを実行。表示されたポートから判断。

・IPアドレスから個人情報は漏れるか？
　プロバイダが所有する情報は公権力が無い限り、外部漏洩は
　通常なし。それよりもクラッキング対策をするべき。

・IPアドレスからプロバイダを知りたい
　>>7-10の【Whois】参照。なお、結果を貼りつけても無視される。

【掲示板】
・掲示板荒らし対策
　注意、警告、放置、削除、一時閉鎖、利用制限、通告、完全閉鎖。
　冷静に判断し、対応。困っているのは貴方だけではない。

・掲示板利用者のIPアドレスは調べられるか？
　HTMLソースに書いてある場合もある。

7 ：名無しさん＠お腹いっぱい。：04/05/12 16:04

【各種 Firewall】
ZoneAlarm http://www.zonelabs.com/
Kerio Technologies Inc. | Kerio Personal Firewall
http://www.kerio.com/kpf_home.html
Tiny Personal Firewall http://www.tinysoftware.com/
Agnitum Outpost http://www.agnitum.com/download/outpost1.html
Sygate Personal Firewall http://www.sygate.com/
AtGuard http://download.lycos.com/swbasic/BasicResults.asp?query=atgd322 (リンク切れ)
BlackICE Defender http://blackice.jp/
Snort for Win32 http://www.datanerds.net/~mike/snort.html
【ログ解析ツール】
ICEWatch http://keir.net/icewatch.html
ZoneLog Analyser http://zonelog.co.uk/
TPF Log Analyzer （Tiny Personal Firewall用）
http://server47.hypermart.net/tinyfirewall/ (リンク切れ)
【スパイソフト発見ソフト】
Ad-aware http://www.lavasoft.nu/support/download/
【日本語パッチ等】
ZoneAlarm 日本語化パッチその 1 http://etcd.virtualave.net/
ZoneAlarm 日本語化パッチその 2 http://www.ryulife.com/net/security/index.html
Tiny Personal Firewall 日本語化パッチ
http://www.geocities.co.jp/SiliconValley-Cupertino/2943/
Agnitum Outpost(日本語で使用可能)
ZoneAlarm Pro体験版 http://www.zonelabs.com/zap_download_trial_4.htm (リンク切れ)

8 ：名無しさん＠お腹いっぱい。：04/05/12 16:05

【セキュリティチェックサイト】
Shields UP ! https://grc.com/x/ne.dll?bh0bkyd2
Shields UP ! の日本語解説サイト http://www.upsizing.co.jp/news/report0426.htm
Symantec Security Check
http://security.symantec.com/default.asp
Secure Design - Port Scan Security Check
http://www.sdesign.com/securitytest/
セキュリティチェックサイトのリンク集
http://www.toyo.co.jp/security/ice/advice/Support/KB/q000026/default.htm
【Whois】
APNIC http://www.apnic.net/
JPNIC Whois Gateway http://whois.nic.ad.jp/cgi-bin/whois_gw
IPドメインSEARCH MSE株式会社 http://www.mse.co.jp/ip_domain/index.shtml
【解説サイト】
Firewall 解説サイト Fire & Forest http://eazyfox.tripod.co.jp/
Snort 解説サイト http://www.port139.co.jp/ntsec_snort.htm

[ウィルス情報]
IPAセキュリティセンターhttp://www.ipa.go.jp/security/isg/virus.html
Symantec Security Response http://www.symantec.com/region/jp/sarcj/
Trend Micro ウイルス情報 http://www.trendmicro.co.jp/virusinfo/index.asp
McAfee ウイルス情報 http://www.nai.com/japan/virusinfo/vinfo.asp

9 ：名無しさん＠お腹いっぱい。：04/05/12 16:05

[Windows板] 広告カットとファイヤーウォールソフ
ト。http://yasai.2ch.net/win/kako/971/971411733.html
[パソコン一般板]
自分のパソコンへの不正侵入対策してますか？2http://salad.2ch.net/pc/kako/980/980600110.html
[初級ネット板] 簡易ファイアーオールhttp://mentai.2ch.net/hack/kako/972/972826108.html

パソコン初心者＠2ch掲示板 http://pc5.2ch.net/pcqa/
初級ネットワーク＠2ch掲示板 http://pc5.2ch.net/hack/
windows＠2ch掲示板 http://pc5.2ch.net/win/
ソフトウェア http://pc5.2ch.net/software/
ダウンロードソフト(download板) http://tmp2.2ch.net/download/
パソコン一般＠2ch掲示板 http://pc5.2ch.net/pc/

「森で遊ぼう」
(ファイヤーウォール等セキュリティ関係解説サイトダウンロードページのリンク日本語解説ページあり)
http://eazyfox.homelinux.org/

・IE(インターネットエクスプローラ)やOE(アウトルックエクスプレス)は危ないと感じた人達へ
ネスケ（ネットスケープコミュニケータ）やOpera（オペラ）を使用するという手段があることも念頭にいれておいてください
http://home.netscape.com/ja/
http://www.jp.opera.com/

10 ：名無しさん＠お腹いっぱい。：04/05/12 16:06

【ウィルス/ファイアーウォール】
・無料で使えるアンチウイルスソフト
　AVG http://pc5.2ch.net/test/read.cgi/sec/1081426213/l50
　BitDefender Free Edition http://pc5.2ch.net/test/read.cgi/sec/1081557959/l50
　antivir http://pc5.2ch.net/test/read.cgi/sec/1078021321/l50
・ウイルス/スパイウェア/トロイFAQ
　http://members.tripod.co.jp/nekohako/virusfac.html
・ソフトがなければ、オンラインウィルススキャン
　http://www.symantec.com/region/jp/securitycheck/index.html
　http://www.trendmicro.co.jp/hcall/index.asp
(※署名済みActiveXコントロールのダウンロードを有効にすること)

・ウィルス対策ソフトの用語
　「駆除」：ファイルからウィルスを取り除くこと。
　「隔離、検疫」：ファイルをリネーム、移動。実行できなくする。
　「削除」：ファイル自体を削除。ワーム本体は通常、削除される。
・デマウィルス（安全なファイルをウィルスだと言い張る偽情報）
　jdbgmgr.exe、sage.exeなどは全てWindowsのシステムファイル。
　http://www.ipa.go.jp/security/topics/alert140515.html参照。
・webメール：添付ファイルを実行した場合、感染確率大。
　hotmail：ウィルス検査はあるが、新種のウィルス相手には無力。
・MacはWindowsのウィルスに感染するか？
　WindowsのアプリケーションはMacでは通常は実行できないので、
　感染はしない。但し、保菌してMac→Winへ感染する例がある。
・ファイアーウォールがトロイのアクセスをブロックしたが…
　アウトバウンドで検出：感染の可能性高。
　インバウンドで検出：感染の可能性低。念のためにチェック。
　※たまたまバックドアツールが通常使うポートと同じ場合もある。

11 ：名無しさん＠お腹いっぱい。：04/05/12 16:06

　　　　　　　／￣￣￣￣￣￣￣￣￣￣￣
　　　　　　　 |　今だ！10ゲットォオオオオオオ
　　　　＼　　＼
　　　　　　　　　￣￣￣|／￣￣￣￣￣￣￣
　　　　　　＼　∧ ∧
　　　　　　　　(ﾟДﾟ∩
　　　　　　 ⊂/　　,ﾉ
￣　￣　　　「 _　　|～　ｳ　￣￣　￣
　　　　　　　∪ ヽ l　　ｵ
　　　　　　　/　　∪　　＼
　　／　　　　　　　:　　　ｵ
　　　　　/　　　　||　.　　ｵ　　＼
　　　　　/　　　　 |　:　　　ｵ　　＼
　　　　/　　　　　　　.
　　　　　　　　　　　|　.　　ｵ
　　　　　　　　　　 | | : .
　　　　　　　　　　　|:　 .
　　　　　　　　　　　||　.
　　　　　　　　　　　　.
　　　　　　　　　　　 |
　　　　　　　　　　　| | : .

12 ：名無しさん＠お腹いっぱい。：04/05/12 16:06

【緊急】WEB見ててブラウザが変になったらとりあえずこれを実行【処置】
ブラクラ、ジョークソフト、ブラウザジャッカー、スパイウェアなどの迷惑ソフトに
やられた人は落ち着いて以下を実行してください。たぶん８割くらいは解決…
-----------------------------------------------------------------------
　　You are visiting PEDO sites!　　　Click Here To Protect Yourself
-----------------------------------------------------------------------
とか黄色い窓が出る悪質なブラウザハイジャッカーが流行ってます。やられた人は
次レスの【Secure系ブラウザジャッカー喰らったらこれをやれ】も実行してください。

1) 閉じない窓を強制的に閉じる→alt+F4
2) IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
　プログラム→WEB設定のリセット
4）IEの履歴削除→ツール→インターネットオプション→全般→インターネット
　一時ファイル→クッキーの削除+ファイルの削除
6)「アクセス拒否」ファイルを削除→セーフモード（F8を連打）でOSを起動→削除
7) 勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→
　アプリケーションの追加と削除（JWordはここでアンインストのこと）→OS再起動
9) ブラウザジャッカーCoolWebSearch駆除ツール　CoolWebShredderをダウン→実行
　 http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo　→OS再起動
10)定番スパイウェア除去ソフト↓をインストール(併用推奨)
　 Ad-Aware　http://www.lavasoft.de/　Spybot-S&D　http://security.kolla.de/

11）Me/XPの場合「システムの復元」で直近の正常な状態に復帰させる、という手もアリ。
　［スタート］→［すべてのプログラム］→［アクセサリ］→［システムツール］
　 →［システムの復元］
　　復元フォルダに悪プログラムが残ったままになるのでアンチウィールスのスキャン
　　で警告が出たり、うっかり再度復元して緊急事態に逆戻りしたりwに注意。

13 ：名無しさん＠お腹いっぱい。：04/05/12 16:07

　　.‐''￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣ヽ
　　|　　　　＿＿＿＿＿＿＿_　　　　　　　　　　　　　　|
　　|　　　　|　　 ∧__∧　　　|　　　　　　　　　　　　　　　　|
　　|　　　　|　　<｀∀´ > 　　 |　　　　　　　　　　　　　　　　 |
　　|　　　　|＿／　　　二＼　|　　　　　　　　　　　　　　　|
　　|　　　　|＿／＼　　＼＼) |　　　　　　　　　　　　　　　　|
　　|　　　　|　　　　＼　　＼　|　　　　　　　　　　　　　　|
　　|　　　　|　　　　／／＼￣￣）　　　　　　　　　　　　　　　|
　　|　　　　|　　／／　　　￣|￣　　　　　非　常　識　　　　|
　　|　　　　＼　＼＼　　　　　＼　　　　　　　　　　　　　　　　|
　　ゝ､　　　　＼　＼＼　　　　　＼　　　　　　　　　　　　　　ノ
　　　　￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

14 ：名無しさん＠お腹いっぱい。：04/05/12 16:07

【Secure系ブラウザジャッカー喰らったらこれをやれ】
　　★You are visiting PEDO sites!　　Click Here To Protect Yourself★
とか黄色い窓にコケ脅しが出たら、Secure（troj_HARNIG.Aや亜種)喰らってます。
前レスの↑【緊急処置】に加えて次↓を実行しましょう。

12) レジストリ修復ツール　HijackThis　を↓ここからダウン、
　http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe
　Hjackなど適当な名前のディレクトリに入れる→HijackThis以外のウィンドウをすべて
　閉じる→下記レジストリキーの中で見つかったものにチェックを入れてFix→PCを再起動　
　★重要★間違って削除したら、窓右下隅のConfig→Backups→復元したい項目を選択→
　Restoreボタンを押す　で復元されます。（むやみに削除するとPCが不調になります）
　O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg32.exe
　O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg33.exe
　O4 - HKLM\..\Run: [Online Secuirity] C:\WINDOWS\svchost.exe
　O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe
　O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe
　O4 - HKLM\..\Run: [Cons] C:\WINDOWS\consol32.exe
　O4 - HKLM\..\Run: [Serv] C:\WINDOWS\msstasks.exe
　O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
　O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\sxchost.exe
　O4 - HKLM\..\Run: [Service Expration] C:\WINDOWS\szchost.exe
　O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe
　O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.
　mht!h ttp:// hard-virgins.com/dl/ms/x.chm::/load.exe

15 ：名無しさん＠お腹いっぱい。：04/05/12 16:07

13) 仕込まれた悪いファイルの削除：上のHijackThisで見つかったブラウザ
　ジャッカーの本体ファイル(C:\WINDOWS\dlm.exeなど)を検索、削除。システムファイル
　と紛らわしい名前がついてるので、本物を削除しないよう、ファイル名とディレクトリ
　を確認しながら慎重に作業→OS再起動
-------以上実行してまだトラブってたら「ネット関係/セキュリティ板」で質問--------
【正式】ウィルス情報＆質問総合スレッド　　セキュリティ初心者質問スレッド

16 ：名無しさん＠お腹いっぱい。：04/05/12 16:08

【HijackThis 利用の基礎知識】
ウィルス、ワーム、スパイ、ブラウザジャッカーなどの悪プログラムはレジストリを改変して、
自分が自動的に実行されたり、削除されても復活したり、IEのホムペをエロサイトにしたり、
仏壇の下の引出しからおばあちゃんの定期預金通帳を持ち出したり好き勝手をします。

Windowsにはregeditというレジストリ編集ツールが付属してますが、膨大なレジストリ項目
の中を探すのが大変だし、間違ったときの復旧処理も面倒です。

HijackThisは悪プログラムが改変しそうな項目をスキャンして表示し、簡単に削除/復旧
するツールです。

1)　Hjack(適当な名前でよい)という新しいフォルダを用意する
2)　フォルダに本体をダウンロード
　　http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe
3)　HijackThis以外の窓を全部閉じる
4)　実行→config→Make backups before fixing items にチェックが入ってることを確認
　　（左上方、チェックボックスが並んでるところ）→BACKボタンでmainへ戻る
5)　Main画面でSCAN→SCANボタンがSave Logボタンに変わる→ボタンを押す→HijackThis
　が存在するディレクトリを選んで実行→ログファイルが作成されメモ帖で開かれる
　（ｴﾗｲ人に相談するときはこのログを貼ってください）
6)　トレンドやシマンテックのデータベース、被害対策サイト、2chセキュ板などの情報を
　参考に削除項目を調べる
7)　Main画面で削除項目を選択反転→Fix Chekedボタンを押す
8)　間違えて削除した場合は、config→BACKUPS→復元したい項目を選択反転→Restoreボタン

詳しい使い方、LOGの解析方法などは「被害対策」サイトのここら見て勉強してください。
http://higaitaisaku.web.infoseek.co.jp/hijackthis.html