やはりウイルス感染していた・・・！

昨年末（2011年12月末）からハガキ作成ソフトやWordの受講でご利用頂いているSさん。

使っているパソコンが富士通のNB75J（2004年製）のノートパソコンと少々お古だったので、PCメンテナンス、メモリ増設、無線LANの導入をお奨めしたところ、すんなりご依頼を頂けることになったのですが・・・やっぱり"事件は現場で起きている"というか現地に出向くと想定外のことや一筋縄ではいかないことが多々起こっているもんです。今回はそれ絡みのことについて長々記載。

お伺いしてパソコン環境をチェックしてみるとかなりまずい状況・・・。

1. ADSLモデム直付け（ブロードバンドルータがない）。
2. WindowsXPはサポートが終了したSP2のまま。
3. ウイルス対策ソフトは2007/5/16で期限切れ。
4. P2Pファイル共有ソフトがインストールされている。

というかんじです・・・(-_-;)

---

1．について
必須ではないものの、ルータの「NAT」機能や「SPI」機能による実質的なファイヤーウォールは、ウェルノンポートアタックにはかなり有効ですし、何よりパソコンやネットワーク機器が複数台所有すると必須になってきます。

2．について
SP2のままのXPは（パーソナルファイヤーウォールはあるものの）穴だらけ。

3．について
これは言うまでもないですよね。以下の状態なのでインストールして常駐させておく意味がないに等しい。

4．について
1．～3．の環境でP2Pファイル共有ソフトですからウイルス感染していない確率の方が高いかもしれない。

ちなみに「Cabos（カボス）」や「LimeWire （ライムワイヤ）」などのP2Pファイル共有ソフトはパソコン初心者のSさんが使うはずもなく、時々遊びに来るお孫さんがどうやら（勝手に入れていて）使っていた模様。

本来はメモリ増設や無線LANの設定のみでしたが、Sさんのためにも一応Windowsのパッチたけでもあてておくことに。
ところがSP2からSP3にしてネット接続しようとすると以下のようなのメッセージ表示されてフリーズ・・・。

「Generic Host Process for Win32 Services」はWindowsがアプリケーションに通信を提供する機能なのですが、ウイルス感染時するとこのサービスを利用するのが常套手段。
（もちろん通常の通信アプリも利用しますが、このようなエラーが表示されるのはOSがそれなりに問題があると判断した時に表示される。）

とりあえず状況を簡単にお話して一旦パソコンをお預かりする。

長期にわたって無防備状態でウイルスやマルウェアがWindowsシステムの深くに食い込んでしまっている可能性があるのでリカバリーしてパッチをあてれば済む話ですが、問題はデータファイルのほう。

バックアップしたデータファイルをスキャンしてみると・・・やはり出てきた。(￣○￣;)!

P2Pファイル共有ソフトを使ってダウンロードした音楽ファイルの1つに仕込まれていました。(-_-;)

以前（2009/11/7）に類似したケースに遭遇していたんですが、その時も今回同様にご両親のパソコンに息子さんが勝手に「Cabos（カボス）」を入れ、音楽ファイルをバカスカとダウンロードしてて、そのファイルにトロイって感じでした。

無知ながら好奇心旺盛な若年層は、なんの抵抗もなく利用がグレーゾーンなP2Pファイル共有ソフトや違法ダウンロードサイトに入っていくから、怖いもの知らずと言いますかなんと言いますか・・・。

とりあえずこうしたものがまずいことをレクチャーしておかないと、Sさんが安心してネットをご利用頂くこともままならないなぁ・・・。頭が痛い・・・゜゜(´□｀｡)°゜。

---

2012/2/17追記

この記事エントリーは人気サイト？にリンクが張られたようでやたらでとアクセスが多い。
そんなわけで？このブログで過去のウイルス感染の記事もよろしければどうぞ。(^^ゞ

• ウイルス感染を検証（2006/5/27）
• 実録、USBメモリからのウイルス感染！（2009/4/26）

コメント

　こんにちは、再び登場ですｗ 私はボランティアメンテなので、元に戻すっていうことくらいで色々な怪しい状況を見てますが、お孫さんパターンのP2Pの事例ありましたｗ。女の子の方がカボス多くて、男の子が別ユーザーアカウントで色々試行錯誤してポートに穴あけようとしてるパターンでしょうか。ＸＰはパス設定されてるとそのアカウントのプロファイルは読めませんが時々容量の大きいＤﾄﾞﾗｲﾌﾞにそのまんま入ってるって事もありました。女の子の方がオープンで単純に使用してる事が多く簡単に修復できるんですがね・・・ＸＰのパス解除は簡単なんでまぁ、痕跡を残さずに修復して口外しないようにしてます。
　最近は7loaderとか色々あるので、vistaスペックにw7転載のパターンも多くp2pもμtorrent に移行してますね。
　まぁボランティアだけど守秘義務がありますのでｗ

投稿: ㍉ | 2012年1月25日 (水) 12:45

㍉さんこんにちは。
最近のP2Pファイル共有ソフトはUDPホールパンチングに対応しているので、一度入り込むと中々とめられないでやっかいだったりしますよね。
セキュリティ対策ソフトの詳細な設定やローカルセキュリティポリシー（新しいパスの規則、新しいハッシュ規則）で止められないことももないのですが、一般ユーザーにはそうしたことは困難とうか、意味自体伝わらないので頭が痛いです。(^_^;)
内容の薄いブログですが、よろしければまたご閲覧下さい。<(_ _)>

投稿: P-ぽけっと | 2012年1月25日 (水) 21:53