大阪や三重の不正リモートアクセスは iesys.exe
昨日、不正リモートアクセスのファイル名が発表されました。
『遠隔操作型ウイルス「iesys.exe」感染による犯罪予告、その感染経路と対策について』
ファイル名の検索をすれば、すぐ見つかるって言えば見つかるのですが、この手の物は、どんどん変化していきまますので、明日には違う名前になって出回っている可能性が高いです。
1) マイコンピュータ内に検索をかけて、同じファイル名があるか確認します。
検索の仕方は、下図の通りにしてください。(XPを使っている方向け)
①適当なフォルダを開いて、”検索”をクリックします
②「ファイルとフォルダ全て」をクリックします
③ファイル名に『iesysy.exe』と記述し、探す場所を『マイコンピュータ』にして、検索ボタンをクリックします。もし、これで、見つかったら、そのファイルを削除してください。
(ただの削除ではゴミ箱に行くだけですので、ごみ箱からも消してください。分かる方は、削除の際、Shitキーを押しながら削除すれば、ごみ箱に行かないで直接削除できますので、それで行ってください)
2) WindowsUpdateと、ウィルス対策ソフトのアップデートを行います。
3) ウィルス対策ソフトのスキャン(検索)をします。
これで、引っかからなければほぼ大丈夫だと思いますが、先ほども言いましたが、この手の物はすぐに新しい形に変わっていきます。
絶対に WindowsUpdate、ウィルス対策の更新、定期的なウィルススキャンは行ってください。
実際のウィルスは 今回のファイルの中に仕込まれていて、実際のウィルス名は、トレンドマイクロでは、『遠隔操作により犯罪予告を行うバックドア型不正プログラム「BKDR_SYSIE.A」 』という名前のウィルスになります。(クリックするとトレンドマイクロのウィルス情報の解説に飛びます)
それと、実際に、マイナビで、2chのログを発見!!というのがあったので紹介しておきます。
『2chで広まった遠隔操作ウイルス「iesys.exe」を早速ダウンロードしてみた』
海外サーバも使用して色々やると言うのは良くある手です。それと、実際にパソコンは日々攻撃にさらされているを実感頂ければと思って、NTTのゲートウェイのセキュリティログをお見せします。
このゲートウェイで、インターネットからすぐに侵入される事はありませんが、日々必ず見られている事がわかればと思ってログを公開します。宛先IPアドレスは、非公開とさせていただきます。
|
受信時間 送信元IPアドレス/ポート 宛先IPアドレス/ポート プロトコル アクション 2012/10/11 11:01:06 5.10.65.253/80 XXX.XX.XXX.XX/41823 TCP 廃棄[NAT] 2012/10/11 11:00:13 24.106.230.85/4822 XXX.XX.XXX.XX/445 TCP 廃棄[NAT] 2012/10/11 11:00:10 24.106.230.85/4822 XXX.XX.XXX.XX/445 TCP 廃棄[NAT] 2012/10/11 10:49:22 61.147.70.110/16138 XXX.XX.XXX.XX/1433 TCP 廃棄[NAT] |
この短時間でも、これだけあります。ちなみに送信元は、アメリカと、トルコでした。これもこのIPアドレスだけではわからず、この送信元が踏み台にされている方の可能性が多いので、実際のアクセスは違う国であるほうが多いです。
どのように注意するかと言うのは、とにかく基本に忠実にしていけば結構防げます。(残念ながら100%はあり得ませんが・・)
基本的な事とは、OSと、ウィルスのアップデート、ウィルス対策ソフトの日々のスキャン。ネットは、自分の身は自分で守るしかありませんので、皆さま充分に注意してください。