アーカイブ
長期化する組織内に潜入したConficker(Downadup)の駆除・対処について
2009年4月9日 | 注意喚起
緊急対応サービス[個人情報119]、およびセキュリティ監視センターJSOCにおいて組織内パソコンやサーバのConficker(Downadup)への感染被害と、不適切な対応処置により駆除・対処が長期化する事案が増加しています。
現時点で確認されている検体の感染経路は、基本的には以下の通りです。
- USBデバイス経由
- サーバサービスの脆弱性(MS08-067)
- 管理者共有(Admin$)
感染マシンの対処を行う場合には、従来のウイルス駆除手順ではうまくいかないだけではなく、さらに感染を拡大したり、駆除が完了したマシンへの再感染させることもありますので、ご注意ください。
特に、利用者に管理者権限を付与していない組織において、感染マシンへの対応をシステム管理者が実施することで、却って被害を拡大しているケースが散見されます。
感染した場合の推奨する対処方法
- 感染したパソコンをネットワークから隔離する
- 感染したウイルスの感染ロジック、手口をよく調査・理解する
- その上で、OSの再インストールするなどの対応を行なう
現時点で確認されている検体の多くは、Windowsにログオンしているユーザの権限を使用し、他の端末へWindowsファイル共有機能の管理共有を通じて感染活動を行ないますので、感染マシンに管理者権限でログインすることは、大変危険な行為となりますので十分気をつけてください。
参考:WindowsをConfickerワームから守る
http://technet.microsoft.com/ja-jp/security/dd452420.aspx
参考:感染の有無を確認する方法
■ブラウザで表示するだけで確認できるURL(プロキシ環境不可)
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
■オンラインスキャナ
http://www.kaspersky.co.jp/virusscanner
http://www.f-secure.co.jp/v-descs/disinfestation.html
http://www.mcafee.com/japan/mcafee/home/freescan.asp
http://www.trendflexsecurity.jp/security_solutions/housecall_free_scan.php
http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=jp&venid=sym
完全駆除が難しいウイルスの退治は、今すぐプロにお任せください!!
ラックでは、組織内で蔓延していたり、じっと潜んでいるウイルスをあぶり出す「ボットお掃除サービス」を提供しています。駆除しても駆除しても、しつこく現れる頑固なボットを徹底的に退治するなら「ボット駆除サービス」(PC1台の駆除につき5,000円から)が効果的です。
上記サービスおよびウイルス駆除に関するお悩み・ご相談は、
までお早めにご連絡ください。