ワームの見つけ方
社長のPCがワームに感染していた。幸い、他のPCに感染する前に駆除できた。うまくいったトラブルシューティングは、あとから振り返ればごく簡単に見える。実際には、何が起きているか分からず、暗中模索・試行錯誤の連続だ。他の人の役に立つかもしれないので、メモとして書いておく。
そもそもの発端は、月曜の朝、社長のPCがVPN接続できなくなったことだ。私の会社は規模が非常に小さいので、専用線で米国本社と接続するなどということはやっていない。ISP経由でインターネットに接続し、PCのVPNクライアントで本社ネットワークにつないでいる。そのVPNクライアントが、「VPNサーバが接続を拒否した」というメッセージを出力していた。聞くと、日曜は問題なかったとのこと。突然こういう状態になったそうだ。
私をはじめとする他の社員のPCは問題なく接続しているから、VPNサーバの問題ではない。私のIDでログインを試みても接続を拒否されるから、社長のIDが何かの原因で無効になっている可能性も考えた。
しかし、VPN接続が不要な社外のWebサーバをb閲覧していても、突然DNSエラーになってしまう。ネットワーク接続自体が不安定だ。VPNクライアントがDNS設定を書き換えたままにすることが以前にあったので、Windowsのネットワーク設定をひととおり見直したが、特に問題はない。
netstatを実行して初めて、問題の輪郭が明らかになった。見慣れないホストに対してSYNを送信している(SYN_SENTと表示される)。ドメイン名はISPやテレビ局、CATV局だ。社長が勝手にインストールしたプログラムが原因かと思ったが、このISPやテレビ局に心当たりがないという。
接続しようとしているプロセスIDをnetstat -oコマンドで調べ、Windowsタスクマネージャでプロセス名を確認する。タスクマネージャは、デフォルトではプロセスIDを表示しないので、「表示」→「列の選択」でプロセスIDをチェックしておく。SYNを送っているプロセスIDが見つかった。「symtea.exe」だ。PC内を検索すると、シマンテックのアンチウイルスソフトのフォルダにそのファイルがあった。私のPCにはない。
プロセスを終了し、ファイルを別フォルダに移動したら、ネットワーク接続は正常に戻った。Googleで「symtea」を検索しても、あまり情報がない。あとで調べようと、私のPCにコピーしようとしたら、アンチウイルスソフトに引っかかった。ワームだ。
社長のPCのアンチウイルスソフトで引っかからなかった原因も分かった。このワームは数日前に発見されたもの。ファイルのタイムスタンプをみると、社長のPCが感染したのは、その直後らしい、感染してネットワーク接続できなくなったため、シマンテックのウイルス定義ファイルを更新できなかったようだ。
感染経路はよく分からないが、シマンテックの情報によると、mIRCやネットワーク共有経由で感染するとのこと。社長のWindowsパスワードは英字のみだというから、これを破って侵入してきたのだろう。数字や記号を最低でも1時入れたパスワードにするよう、社長をはじめ、全員に指導した。Windows Updateも徹底しなければいけない。
| 固定リンク
この記事へのコメントは終了しました。
コメント