インターネッコ

インターネット上では攻撃者、ワーム感染者が常にいろいろなIPに攻撃しようとしており、
ファイヤーウォールを介せずインターネットに接続すると、あっという間にウィルスが送られてきます。

何度も入り込むウィルスを手動で削除しつつ、半年間蓄えたノウハウを公開します。

ウィルスの侵入方法と防御

Windowsでは標準でいろいろなサービスアプリケーションが動作しています。
Telnet(port23), ftp(port21-22), RPCサービス(port135-139,445)などです。

基本は 攻撃者の接続→自分の応答→攻撃者の攻撃です。
攻撃を防ぐには3つの方法があります。

1. 応答しない。
2. 接続を受け付けない。
3. 攻撃要求を受け付けない。

1

応答をしないようにするにはサービスを停止すれば良いです。
コントロールパネル→管理ツール→サービス*1を開きサービスアプリケーションの設定をします。
様々なサービスが登録されていますが、無効にする項目を列挙します。

• Messenger
• Net Logon
• NetMeeting Remote Desktop Sharing
• Remote Access Auto Connection Manager
• Remote Registry Service
• Routing and Remote Access
• RunAs Service
• Task Scheduler
• TCP/IP NetBIOS Helper Service
• Telnet
• Workstation

プロパティを開き、スタートアップの種類という項目を自動から無効に変更します。

2

Windowsに重要なサービスなど無効にできないものは接続自体を受け付けなければ大丈夫です。
ポート設定で閉じるものを列挙します。（全てTCP/UDP共に閉じます）

・特にTelnet, RPCサービスは頻繁に攻撃者に利用されます。

さらに安全性を高めるのであれば、全てのポート（TCP,UDP/送受信）を閉じ、使用するポートのみ開きます。
その際にIEなどでインターネットに接続する上で必要な、開放するポートを列挙します。

・http://security.symantec.com/sscv6/home.asp?eula_status=0&langid=jp&venid=sym&plfid=22&pkj=DYJVOLROCYAREWTXLGI&bhcp=1
・全て安全、ポートはstealthとなれば問題ないです。

3

攻撃要求を回避するにはサービスプログラム自体を改良します。
WindowsUpdateやMicrosoftのサイトでセキュリティパッチをインストールしてください(´ω` )

次回はウィルスが入り込んでしまった場合の対処、手動によるウィルス削除についてですヽ(･ω･*)ﾉ