Winnyの利用で被害が出るらしい、Antinnyの削除方法。
Antinnyは複数の種類が有るトロイ兼ワーム型ウィルスのようで、感染すると自己増殖したりローカルPCのデータを勝手にアップロードし他人がダウンロード可能になるそうな。会社でWinnyを使っていた阿保な知人からヘルプの依頼有り、関わってみる事にした次第。
状況を詳しく書くと面倒な事になりそうなので短めに参ります。
W32.Antinny.Aに感染した流れと相談への経緯
環境は、とある企業のデスクトップPC。
社名は控えますが結構でかい会社と思われ、仕事中にファイル交換ソフト Winny を使用していた知人。Aとします。アホのA。
感染までの流れ
- ファイル交換でダウンロードした圧縮ファイル(.zip)を展開
- フォルダが2つ、いずれもクリックで開こうとするも1つ開かない
- 開かないフォルダを見ると拡張子が「.exe(実行ファイル)」だった
良く有るパターンでしょうか。
アイコンがフォルダの画像になっており、拡張子が省略される程の長いファイル名が付けられているやつです。サンプルとして圧縮ファイルを貰ったので私の手元に今それが有ります。
相談への経緯
- ネットワーク(システム)管理者は一応居るが他部署の兼任
- Winny用にウィルスバスターの監視を半年前から切っていた
- ポートは開いていたものを使用し管理者にはバレていない(と思う)
ウィルスバスターはネットワークでは無くPC個別のライセンス。
何かと管理側に手抜きが有るように見えますが、どう考えても会社で遊んでいた方が悪い。ここからやるべき事の要点。
- オンライン状態を無効にするかLANケーブルを抜く
- Winnyの実行ファイル(.exe)を削除
- アップロード記録に漏洩したファイルが無いか確認
他のPCとも繋がっていると思われるオンライン状態はまずいとして切断し、感染していると思われるWinnyのプログラムファイルを削除。
この際に「他のプログラムが使用中~」などと表示されロックされている場合は Unlocker (via:softnic)をインストールし、右クリックからロックを強制解除すると削除出来ます。
ウィルスバスターを再開するだけで良さそうに見えますが、半年も放置していたならアップデートに時間を要す為、その接続中に他のPCに感染しないか心配。別のウィルスなどに感染している可能性も有りましょう。
ウィルスバスターを更新させる為には先にAntinnyを駆除してからという矛盾する環境になったわけです。
漏洩への対処とAntinnyを削除する無料ツール
大手企業が出している無料のAntinny削除ツールを3種類。
Antinnyは新バージョンが次々と作られ、亜種など進化しているそうな。流行した2006年頃はウィルス対策ソフトが追い付かなかったのか検出出来ない事が有ったらしく、それが理由かは知りませんが専用の削除ツールが有ります。
私のPCにAntinnyを感染させ、シマンテックのツールを実行した結果。
Symantec W32.Antinny Removal Tool 1.2.0
C:\(ファイル名省略).exe: (deleted)
W32.Antinny has been successfully removed from your computer!
Here is the report:
The total number of the scanned files: 790040
The number of deleted threat files: 1
The number of threat processes terminated: 0
The number of registry entries fixed: 0
感染していた元のファイルは削除出来たようです。
ちなみにシマンテックの解説ページ最下段には、アップロードしたファイル名の記録場所とファイル名が書かれております。
4. Winny プログラムを含んでいるフォルダを見付けます。
5. そのフォルダ内の Upfolder.txt を開きます。
感染ファイルを元に戻し、トレンドマイクロの駆除ツールも試行。
Damage Cleanup Engine (DCE) 3.98(Build 1012)
Windows XP(Build 2600: Service Pack 3)Start time : 火 6 07 2011 09:32:47
Load Damage Cleanup Template (DCT) "C:\Documents and Settings\950\デスクトップ\Fix_VirusOnWinny\tsc.ptn" (version 999) [success]
Complete time : 火 6 07 2011 09:32:47
Execute pattern count(5), Virus found count(0), Virus clean count(0), Clean failed count(0)
見当たらないそうな。感染ファイルはCドライブ直下に置いております。
マイクロソフトの悪意ある~削除ツールはAntinny専用では無いものの、Antinny対策用として総務大臣に表彰されたらしく、ログは取り忘れましたが検出し駆除が可能。
しかし元のファイルは削除出来たものの、何故か感染先のWinnyファイルは放置されており、中途半端な削除方法。
無料のウィルス対策ソフトと言えばAvastが有るものの、ファイルサイズが小さい事とアップデートが速いという理由から、マイクロソフトのSecurity Essencials(via:MS公式)を使用。
インストール時に「ファイアウォールを使用しない」にチェックを入れると他のセキュリティソフトと競合しないと思われますが、自己責任にて。
まぎらわしい為、感染元のファイルは削除しクイックで検索。
無事に検出し削除出来たようです。
最終的に知人Aはハードディスクを抜き出し持ち帰り(注:一時的でも横領です)、自宅PCに接続して駆除をしたようですが、その際に万全を期す為、Windowsフォルダの中身を適当に消して起動出来ないようお勧めしておきました。
Windowsが壊れた事にして再インストールした方が安全な為。本当にそうしたかまでは知りません。ちなみに私が貰った報酬は百年の孤独という焼酎。
Antinnyに感染しないよう対策する方法
なぜ感染したか、に対策する事になります。
- セキュリティ(ウィルス対策)ソフトを常に最新、常に監視
- 偽装の感染ファイルをダウンロードしない=P2Pをやらない
- 企業のネットワーク管理者はもっと真面目にやった方が良い
企業内でネットワークを広げているなら、セキュリティソフトは個別の物では無くネットワーク用へ。無意味に開いているポートは閉じ、トラフィックの監視。やり過ぎとは思いますが、接続まで監視した方が安全でしょう。
なぜ「セキュリティソフトを切ったのか?」と知人に聞いた返答は「ウイルス入りの偽装ファイルをダウンロードする前提だから」との事で呆れました。
仕事場のパソコンでファイル交換をする時点で非常識では有りますが、実際に今でも情報漏洩のニュースは有り、やってしまう人間が後を絶たないのでしょう。ニュースになっていないだけで、本当はもっと多くの漏洩が有ると思われ、他人事ではございません。
利用する側は、どうしてもやりたいなら家でやる。家族と共有していたり、他人様の個人情報を持っているなら漏れる可能性が有る為、万一の際は取り返しの付かない事にもなりましょう。やるなら独立したパソコンとストレージ、ネットワークでどうぞ。推奨はしません。
>結構でかい会社と思われ、仕事中にファイル交換ソフト Winny を使用
うは、YABEEEEE!!
>Winny用にウィルスバスターの監視を半年前から切っていた
>ウィルスバスターはネットワークでは無くPC個別のライセンス
普通法人用アンチウイルスはクライアント側で勝手に切れないし、サーバ側でクライアントの状況が常時監視されるハズなのでそうじゃないかと思ったらほんとにそうだったw
>何かと管理側に手抜きが有るように見えますが
いやこれ相当ありますよ。結構でかい会社というのなら尚更です。
ISMSとかやって無いのかな? かなーりあり得ないレベルだと思われ。
アンチウイルスソリューションて、企業のシステム運用では避けて通れないと思うんですけど、これは酷いというか、なるべくしてなっている感大ですな。
>ハードディスクを抜き出し持ち帰り(注:一時的でも横領です)、自宅PCに接続
まずコレが普通に出来ちまう時点で情報セキュリティ管理ヒド過ぎだと思うのw
社内的にコンプライアンスとか何ソレな感じなんですかね。
なんか仕事楽しそうでいいなw
>企業のネットワーク管理者はもっと真面目にやった方が良い
真面目とかテキトウ以前の問題のような…専門部署があるのかすら疑わしいというか、あったとしてもおそらく担当者は意識すらしてない気が…
きっとそこが変わらない限りまた同じことが起きるでしょうな。
だってこれじゃコトが起きてもわからないもの。実際バレてないワケだしw
企業内で社員が端末をどう使うのかなんてわかりやしないワケで、いろいろ規定なんか定めたところで有名無実化してしまうのが普通、故にシステム側で悪さは出来なくしておくのが基本というかそうしないとイカンでしょうに。
言い方アレですが、性悪説でセキュリティ対策しておかないと今時は一人のアホのせいで会社自体が詰みますよ。
企業が信用なくしたらそこで試合終了。このご時世に全社員失業とかもうね。
>セキュリティソフトは個別の物では無くネットワーク用へ
もう、コレやってないのが信じられないんですけど。
それなりの大きい会社だというのならよけいに…
そもそもWinnyとかって、今時の企業は社内は当前として、社員が個人的に自宅で使うのすら禁止してるような気がするのですけど、そうでもない?
企業の場合、セキュリティはやり過ぎとか神経質過ぎなくらいでいいと思うの。
いや、私もセキュリティ厳し過ぎ、なにコレ仕事やりずれー、業務効率下がるマンドクセーとか言いながらやってますけどねw
やらかして自分だけならまだしも会社がとぶとか背負うもの重過ぎワロエナイ
実際、過去の事例でも当事者に対して壮大な損害賠償来てますからw
この記事のケースとはだいぶ形は違いますが、天下のSONY様とてあんなことになるのだし、会社はやることやって、個人も意識して気をつけたほういいと思うの
>セキュリティソフトは個別の物では無くネットワーク用
ちょこっとパソコン使える経営陣でも、この違い知ってるレベルってのは少ないと思うんだなぁ。解ってるヤツがちゃんと社内啓蒙しないといけませんな。
会社のIT&セキュリティ担当なので、補足というか、分かる範囲で。
◆法人向けセキュリティソフト
ウイルスバスターのコーポレートエディションをグループ全社で導入し、拠点ごとにサーバを置いてます。
クライアントでウイルスが発見されると、サーバから管理者宛にメールがとぶ仕組み。
300名くらいの事務所で、月に10~20件ぐらい報告がありますね。
ほとんどはインターネットからの拾い物のようですが、稀に感染ルートが不明なものがあったりします。
また、当然ながらクライアントからは勝手に終了したりアンインストールはできないようにはなってます(アンロード、アンインストール時に必要なパスワードは、定期的に変更)。
◆ハードディスク抜き出し
Windows7では、ハードディスク丸ごと暗号化できるので、ハードディスクだけお持ち帰りしても読み込みできないようになっています。
もっとも、そのせいでセクター不良などでWindowsが立ち上がらなくなった時の対応は、じゃっかん面倒なことになっていますが。
◆パソコンお持ち帰り
昔(20年くらい前)は、会社のパソコンが遅いので私物のパソコンを持ってきたりとか、会社のデータをお持ち帰りして自宅のパソコンで作業とか自由にやれていましたが、今はどちらも禁止です(会社のパソコンを持ち帰って仕事をすること自体はOKです)。
まぁ、それが徹底されているかどうかは微妙ですが。
ばれたら失業くらいで済む話じゃないですね・・・
その怖さを知らないからやってたんでしょうけど、そういう意味では会社側の教育と管理体制にも問題ありますね。
>ちなみに私が貰った報酬は百年の孤独という焼酎。
ググってみたら7000円ほどするじゃありませんか。
報酬としてはいい値段なのでは。
名前がAnti+WinnyでAntinnyなのでしょうか。Winnyを利用している方の8割くらいは違法DLが目的でしょうから、あまり気の毒だとは思えないのが実情ですが
>会社でWinny
むしろ、Winnyを起動したまま通常業務ができるPCのスペックが羨ましいですね。少なくとも、私がオフィスで使用しているPCでは不可能です
>フォルダを見ると拡張子が「.exe(実行ファイル)」だった
こういった偽装に対しては、Vistaや7のUACが非常に有効ですね。ナチュラルにマルウェア対策が出来ます
>Winny用にウィルスバスターの監視を半年前から切っていた
むしろWinny用に厳しくするべきだと思うのですが、無効とは無謀ですね。仮に私が会社でWinnyを利用するなら、ファイルのDL先は全て外付けHDDへ(外付けHDDを常駐監視から外した状態)→外付けHDDを持ち帰り自宅のPCをオフラインにした状態でファイル確認、とやりますが
>セキュリティソフトは個別の物では無くネットワーク用へ
こちら、我社でも是非とも実行して頂きたい。というかずっと進言し続けているのですが、全く受理されませんね。お陰でセキュリティソフト代は自腹という
それにしても、Aさんの被害はどうだったのでしょうかね。感染を前提にしたWinnyの利用なら、恐らくデスクトップやマイ○○フォルダ内には何も置かない、程度の用意はしていらっしゃったのでしょうが、流出の確認作業は怖いです
バレたら会社から損害賠償請求されてもおかしくない。
仕事場でファイル交換ソフト使う事はまず無いだろうに…。
(そういうのの開発とか解析とかしてるのなら別ですが)
>こんごうさん
>Windows7では、ハードディスク丸ごと暗号化できるので(以下略)
BitLocker(Ultimate と Enterpriseで提供されてる奴)の事ですか?
あれ復号出来ないと最悪の場合PCが利用不可になるから結構厄介ですよね。
あと7とXPなどとデュアルブートしてるとXPではBitLockerで暗号化した領域を認識出来ず、暗号化した領域を「フォーマットしますか?」と聞かれて「はい」を実行するとWindows 7の暗号化領域はフォーマットされてしまう悲劇が…。
Windows7を導入している企業って多いのかな、入れていてもエディションが問題だけど。
>やすとしさん
個別のセキュリティ対策ソフトすら入れてない所が有るのが現状だったり…OSも未だにWindows98SEや2000使ってる所が有る位ですから。
>暗号化した領域を「フォーマットしますか?」と聞かれて
それって、どのタイミングで聞かれるんですか?
>それって、どのタイミングで聞かれるんですか?
[スタート]-[マイコンピュータ]を右クリックし、表示されたメニューから[管理]をクリック。
[コンピュータの管理]画面が表示されるので、画面左側のツリー表示から[ディスクの管理]をクリック。
すると、BitLockerで暗号化した領域されている部分が、XPで見ると確か「未割り当て」になってたはず。(ちょっとうろ覚えですいません。)
それを本当に「未割り当て」の領域だと勘違いしてフォーマットした人がいるんです。当然データはパーです。
フォーマットしようとしなければ「フォーマットしますか?」聞かれませんので。