画面はHybris。あんまり歓迎したくないダイアログボックス表示(^^;
日付: 2001/06/11 、 時刻: 18:30:02 W32.Magistr.24876@mm ウィルスに感染していました。
日付: 2001/07/22 、 時刻: 13:47:42 W95.Hybris.worm ウィルスに感染しています。
日付: 2001/07/22 、 時刻: 13:47:42 W95.Hybris.worm ウィルスに感染しています。
日付: 2001/07/27 、 時刻: 6:46:54 W32.Sircam.Worm@mm ウィルスに感染しています。
日付: 2001/07/27 、 時刻: 6:46:54 W32.Sircam.Worm@mm ウィルスに感染しています。
日付: 2001/07/27 、 時刻: 18:39:12 W32.Sircam.Worm@mm ウィルスに感染しています。
日付: 2001/07/27 、 時刻: 18:39:12 W32.Sircam.Worm@mm ウィルスに感染しています。
日付: 2001/07/27 、 時刻: 20:25:44 W32.Sircam.Worm@mm ウィルスに感染しています。
日付: 2001/07/27 、 時刻: 20:25:44 W32.Sircam.Worm@mm ウィルスに感染しています。
日付: 2001/08/09 、 時刻: 17:57:14 W32.Magistr.24876@mm ウィルスに感染していました。
日付: 2001/08/19 、 時刻: 12:44:14 W32.Sircam.Worm@mm ウィルスに感染しています。
日付: 2001/08/19 、 時刻: 12:44:14 W32.Sircam.Worm@mm ウィルスに感染しています。
日付: 2001/08/22 、 時刻: 16:46:36 W95.Hybris.worm ウィルスに感染していました。
日付: 2001/09/01 、 時刻: 17:40:58 W95.Hybris.worm ウィルスに感染していました。
日付: 2001/09/14 、 時刻: 20:51:22 W95.Hybris.worm ウィルスに感染していました。
日付: 2001/09/17 、 時刻: 9:38:08 W95.Hybris.worm ウィルスに感染しています。
日付: 2001/09/17 、 時刻: 9:38:20 W95.Hybris.worm ウィルスに感染していました。
日付: 2001/09/21 、 時刻: 16:24:58 W32.Nimda.enc ウィルスに感染しています。
日付: 2001/09/21 、 時刻: 16:25:02 W32.Nimda.enc ウィルスに感染していました。
日付: 2001/09/21 、 時刻: 16:26:14 W32.Nimda.enc ウィルスに感染しています。
日付: 2001/09/21 、 時刻: 16:26:20 W32.Nimda.enc ウィルスに感染していました。
日付: 2001/09/21 、 時刻: 16:27:12 W32.Nimda.enc ウィルスに感染しています。
日付: 2001/09/21 、 時刻: 16:27:14 W32.Nimda.enc ウィルスに感染していました。
日付: 2001/09/23 、 時刻: 14:39:34 W32.Nimda.A@mm(html) ウィルスに感染していました。
日付: 2001/09/23 、 時刻: 14:39:36 W32.Nimda.A@mm(html) ウィルスに感染していました。
のっけから気色の悪いメッセージの連続で恐縮だが、これらは皆最近3ヶ月の間に我が家のコンピュータで検出されたコンピュータウイルス、ワームの類である。Nimda以外はすべて見知らぬ人からの添付ファイル付電子メールで届いたものである。幸いすべてのウイルスはノートンアンチウイルスによって捕捉され、感染は免れている。ご安心を…(?)。メッセージはログを少々編集して時刻とウイルス名だけを抜き出したものである。
メッセージの中で気になるのは 「しています」 というのと 「していました」 だと思うが、「しています」は電子メールによって届いたときに検出して、処理を求められた場合(削除 or 検疫 or 放置など)のログである。「していました」というのは何らかの処置を実行した後(削除など)のログである。
とまあ、ここまではよくある話(ないって?)で、今までテレビなどで被害情報や対処法などが時折放送されていたが、今回問題となっている Nimda はこれまでの中で最大の感染力をもつようである。9月20日は職場でも大騒ぎになっていて、午前中はインターネットエクスプローラのアップデートやら、ウイルスパターンの更新やらウイルススキャンで大賑わい(?)だった。自分の場合は持ち歩いているノートPCはIEをすぐにアップデートし、自宅のWindows PC3台はとりあえず自分が帰宅するまでHPを開いたりしないよう指示し、帰宅後すぐにアップデートした。
この時点までは自分の認識としては、Yahoo!ニュースやシマンテック、トレンドマイクロの情報により以下のようなものだった。
パッチの当たっていない IE で感染したホームページを見ると JAVA スクリプトの動作により、そのマシンが感染する。
感染したHTMLメールを受信し Outlook Express などのMS製メーラで見ただけでマシンが感染する。
パッチの当たっていないIISを用いたWWWサーバに感染する。
ノートンアンチウイルスのパターンを最新のものにアップデートし、IEのアップデートも済ませ、もう安心と思っていたところへ9月21日の出来事が自分の身に降りかかり、正直なところ顔面蒼白状態になった。というのは、いつものように AirH" を接続したままにしておいたところ、なんの前触れも無く突然ノートンアンチウイルスの警告が…。
「C:\PROGRAM FILES\MICROSOFT GAMES\AGE OF EMPIRES II\SCENARIO\コマアリシコ.eml は W32.Nimda.enc ウィルスに感染しています。」
このようなメッセージが立て続けに3回も表示された。IEは起動していたかも知れないが、その時はホームページを見ていたわけでもなく、電子メールを受信したわけでもない(そもそもアウトルックは使用していない)。ノートパソコンなので、Win98でありIISなど起動しているはずもない…。要するに、感染パターンのどれにも当てはまっていないわけで、頭の中はパニック状態になりそうだった。もっとも単純な答えは 「 IEをアップデートする前から9/19時点で感染していた 」 ということになる。そうなると自宅LANにつながっているマシンすべてが感染している可能性だってある。
頭の中には4台のWinマシンの感染ファイルとそうでないファイルを切り分け、データをバックアップしOSを再インストールし、アプリの再インストール、データのリストア、ネットワークなどの再設定などの大変な作業を行っている自分の姿が思い浮かんだ。
インターネットで更なる情報を求めてみると、感染したマシンではシステム設定ファイルなどが書き換えられているなどの情報があった。それらをいちいち自分のマシンで調査しても一つとして当てはまるものがない(=感染していないとしか思えない)。
では何故 Nimda が検出されたのか?自分なりに結論づけてみた。三つの感染ファイルはいづれも共有設定されたディレクトリで、なおかつフルアクセス、パスワード設定なしというディレクトリだ。この共有ディレクトリは子供たちが Age of Empires などのゲームで作成したシナリオファイルをやり取りするために設定したもので、ルータ内の LAN でしか使わないため、パスワードの設定などは行っていなかった。それが、今回 AirH" で直接インターネットに晒されることになったため、感染ファイルが送りつけられたのだと推測した。そういう感染ルートは公表されていないが、きっとそうに違いないと思った。
Yahoo!ニュースの9/22版で次のような記事が掲載された。引用すると、
http://headlines.yahoo.co.jp/hl?a=20010922-00000504-yom-soci
ニムダに新たな感染経路、警察庁が注意喚起
強い自己増殖能力を持つコンピューターウイルス「W32・Nimda(ニムダ)」の感染被害を分析していた警察庁は22日、従来指摘されていた感染経路以外に、新たな経路があると発表した。同庁によると、ニムダには、防御プログラムのないパソコンを攻撃する機能だけでなく、同一ネットワーク内のパソコンに対し、同じウイルスを組み込んだファイルを自動的に送り付ける機能があるという。このため同庁では、不審なファイルをパソコン上で見つけた場合、すぐに削除するか、開かないよう注意を呼びかけている。同庁によると、21日午後4時現在、計91件の被害が全国の警察本部に届けられている。(読売新聞) [9月22日11時40分更新]
というわけなので、不要な共有ディレクトリは設定しないように…。さらに個人的意見だが、マイクロソフト製のメーラーは最近いつも標的にされているので自分の身を守りたいなら他のにしておいたほうがいいんじゃないかと…。
コメントする