プロが教える店舗&オフィスのセキュリティ対策術

McAfee SecurityCenter(最新バージョン)というのを使っています。
(「Virus Scan」「Personal Firewall」「Privacy Service」起動。)

「教えてGoo」サーフィン中に下記アラート出現しました。

「トロイの木馬が検出されました。」
ファイル:kotaeru[2].php3
トロイの木馬の名前:Exploit-URLSpoof.gen
ファイルパス:キャッシュフォルダ
状態:削除済み

「リアルタイムでブロックしたが、キャッシュファイルが残ったので削除した。」と言うことだと思いますが、もしウィルス対策ソフトが無ければどうなっていたのかと思うといささか気になります。

マカフィで検索しても「該当する検索結果はありません。」
Googleで検索しても納得できるものはありません。
今の所、再現性はありません。

☆OS:WindowsXP HE 
アップデート済みです。
アクセスしても「現在、利用可能な重要な更新はありません。」
と表示されます。

☆接続:NTT ADSL 8M(ルーター使用)

☆キャッシュファイル
不審なクッキーがあったので、必要なクッキー以外全てのファイルを掃除して数時間後のことです。その後、怪しげなサイトへは行っておりません。

☆通信中に外部から攻撃?それともCookkieの書き込み?誤検出?

☆Spoofing(いわゆる「成りすまし」)
メールの添付ファイルだけでなく、ホームページ閲覧中に感染するタイプと言うことになるんでしょうか?

どなたかご教示ください。

A 回答 (8件)

すみません、


汚染ページにしてしまったのは私ですか..。(^_^;)
今後もバンバン警告が出そうですね。
う~ん、敏感過ぎ?も困ったものです。

実は私は元マカフィーユーザーです。
文字化けなどは経験した事がありませんが、
プログラムがマイコンピュータゾーンではなく、
インターネットゾーンで動いているらしく、
セキュリティレベルを「高」に上げると
正常に動作しなくなるのが理由で使用を諦めました。
まあ、これは欠陥ではなくて仕様なんですが、
私はActiveXやスクリプトなどは
無効にしておかないと心が落ち着きません(笑)。
インターネットオプションの設定は、
IE以外(例えばメディアプレイヤーなど)も参照しますから
基本設定は出来るだけ強固にしておきたいものです。
ソースネクストの頃に購入したものですから、
今の本家版ではこれは改善されているかもしれませんね。
    • good
    • 0
この回答へのお礼

毎々ご回答有難うございます。そして、ご心配をかけ申し訳ありません。

このスレッドを汚染ページにしたのはbeerserverさんではなく、マ○○○○社です。

お礼日時:2004/04/15 08:57

ついでです.


マカフィーの文字化けですが
下記URL(クリックしても大丈夫です)で
改善できると思うのですが.
お試しあれ.

この問題は、Internet Exploreのエンコード設定の「自動設定」をオフにすることで回避できます。
Internet Explorer を開きます。
ブラウザ上部のツールバーにある [表示] メニューをクリックします。
[エンコード] を選択し、[自動選択]の項目の左側にチェックが入っている場合、
[自動選択]をクリックしてチェックをはずします。
さらに[表示] メニューから[エンコード] を選択し、[日本語(自動選択)]を選択します。
マカフィー・セキュリティセンターを再起動して、VirusScan画面が正常に表示されることをご確認ください。

参考URL:http://www.nai.com/japan/mcafee/support/faq/faq_ …

この回答への補足

何度もアドバイス戴き有難うございます。

実は、文字化けの「殆ど」は密かに修復され、解消されています。
念のため、ご説明のとおり実行してみたところ、解消されていた部分までもが、再度文字化けしてしまいました。
原因は「自動選択」をOFFにしたことにありそうで、ONにすると「殆ど」修復されます。

IEの機能をダイアログやヘルプファイルに組み込むと言う手法はよく使われるようですが、マカフィのダイアログに「表示」「エンコード」のコマンドが表示されるわけではなく、他のページを使って操作するしかありません。

「エンコード」の設定を変更しようと思っても、そのページのヘッダーで文字コ-ドが指定されていれば変更できないのではないでしょうか?

たとえば、このサイトで設定を変更しようとしても「日本語(EUC)」に戻ってしまうと思います。

私は、本当の原因はフォントにあるのではないかと思っています。

過去に、Win98(?)をインストールしたNECのマシンで文字化けが発生し、マイクロソフトでも、しばらく原因がわからなかった事があります。
その原因は、「筆まめ」で使われるFONTにありました。FONTを削除するか、フォント名を変更することで回避できました。

私は、現在DELLのパソコンを使っていますが、FONTファイルについては日系のパソコンと外資系ではインストールされているフォントが違うことがよくあるので日系のパソコンでは発生しない文字化けが外資系で発生すると言う可能性を疑っています。

補足日時:2004/04/14 06:33
    • good
    • 0

こんにちは。



>本文中に"%1"の文字があるだけでマカフィは、そのページをウィルス感染とみなしていることがわかりました。

#5さんの参考URLではないでしょうか?
ハイパーリンク以外には反応しないと思うのですが..。

取り敢えず、本件のURLスプーフィング問題は、
IEを最新版にしておけば防げる事ですので、
更新をきちんとなさっているheto2さんの場合は
警告が出たところで特に問題は無いでしょう。
それよりも危ないのは、
#3の末尾に書いた新たな脆弱性の方です。
修正パッチはまだ無いので自衛する必要があります。
セキュリティホール memoによると、
IE,Opera,Safariなどは全滅で、
定番ブラウザの中で
唯一影響を受けないのはMozilla系みたいです。
↑のブラウザを使っている人は、
修正が施されるまではMozillaとの
併用も視野に入れられると良いかもしれません。

この回答への補足

重要な情報、重ね重ね、有難うございます。

マカフィを使っておられない方には信じられないと思いますが、現に、このページを開くたびに、必ず、マカフィーアラ-トが表示されます。
それも、面白いことに、beerserverさんがこのスレッドに"%1"を書き込まれてから、このスレッドは汚染ページに仲間入りしました。

普通、ネットサーフ中に、アンティウィルスソフトが汚染ページを見つけると、駆除、削除、回線の切断等で対応すると思いますが、マカフィの場合、見つけたページはそのまま表示して、キャッシュファイルを削除したと言うダイアログを自慢げに表示します。
出鱈目もいいところですから泣けてしまいます。
その後、汚染された可能性があるのスキャンの実行を推奨されます。
私の場合、30万以上のファイルがあり、3時間はかかります。
しかもウィルスなど発見されません。
リアルタイムスキャンの性能が保証されていないようです。

試しに"%1"を含むページを作って「ウィルススキャン」すると感染ゼロになります。
ハードディスクにダウンロードしてページを開くとアラートなし。
リアルタイムスキャンでは「感染」、「ウィルススキャン」では「感染なし」。
色んなソフトの寄せ集めで、まだ、コーディネートされていないんでしょう。

文字化け、誤検出の他にも、文面に"%1"を含むメールを発信しようとすると「汚染されている」と言う脅しが出ます。

アンインストールの途中でフリーズする。
その結果、空白のポップアップが、ゾンビのごとく、ふらふら立ち上がったり、Outlookのプラグインエラーが表示されたり、とにかくひどい目にあいましたが全部自力で修復しました。

まだ、アルファ版かベータ版のソフトを「期間限定」で特定顧客へダイレクトメールで「大安売り」したのですから、被害を受けるのはユーザー、そして、最大の被害者はマカフィーのサポートと言うこと?。

ユーザー情報の漏洩の疑いもありますが、漏洩元に迷惑がかかりそうなので指摘できません。

☆Mozilla
使いかけたことがありますが、凄いメニューを見てしり込みしてしまいました。
IEを使わずしてIEを語れずという事情もあります。

Spoofingとかphishingとか物騒な時代になりましたね。
友人、知人、マイクロソフト、金融機関、ショッピングサイト、どこから来るメールもホームページも信じてはいけない?

“phishing”の新たな手口が出現,「今まで見たことがない」
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/2004 …

補足日時:2004/04/14 09:08
    • good
    • 0

>リアルタイムスキャンが出来ない方は「参考URL」へアクセスしない方がよさそうです。



お言葉ですが
そんなことはありません.



そもそもマカフィーの
「トロイの木馬が検出されました。」
の表現がおかしいんですよ.
別にこんなのウィルスじゃないです.

これが引っかかったんだと思いますが,
脆弱性を利用して,
http://www.impress.co.jp/」のページを表示しながら、アドレス欄は「http://www.mdn.co.jp」になるだけです.

参考URL:http://www.mdn.co.jp%00@www.impress.co.jp/
    • good
    • 0

こういうことです.



また、Exploit-URLSpoofとして検出されるファイル自体は、悪質なファイルではありません。このファイルにアクセスしても、システムが改変されたり、損傷されることはありません。

悪意のあるサイトの場合,そのハイパーリンクをクリックすると、ユーザをだまして個人情報を漏洩させたり、悪質なソフトウェアをインストールします。

この回答への補足

p964様。不適切な表現おわびいたします。

すっかり、マカフィーアラートに騙されておりました。

私は、マカフィーを使っていますが、マカフィが好きではありません。
最新バージョンの使用直後から文字化けで使い物にならず、問い合わせても一週間以上返事が無いので、返品を申し入れましたがこれの返事がありません。

おまけに、こんな大恥をかかされるとは・・・クックックッ

事情ご賢察戴き、お許しのほどをお願い申し上げまする。

補足日時:2004/04/13 15:13
    • good
    • 0

こんにちは、heto2さん。


だいぶ混乱していらっしゃる様ですが落ち着いてください。
#2さんの参考URLに解説がありますが、
マカフィーは"%1"などの文字列を含む
リンクに反応して警告を出す様になっている様です。
IEなどのセキュリティホールを狙った
偽装URLがこの書式を用いるのは確かなのですが、
健全なサイトが認証で利用している事もあるのです。
(詳しくは参考URLをご覧下さい)
また、#1さんの参考URLには
検証用のURLが含まれていますので、
マカフィーはそれに反応しているに過ぎないと思います。
もちろん、害は有りません。
ちなみにインプレスはパソコンニュースサイトの最大手です。

ただし、新たなURL偽装の脆弱性が
発覚していますので慎重にはなった方が良いですね。
http://www.itmedia.co.jp/enterprise/0404/02/epn0 …

参考URL:http://www.itmedia.co.jp/enterprise/0402/05/epn0 …

この回答への補足

beerserverさん。有難うございます。読めました。
てっきりホームページにスクリプトが仕込まれているとばかり思っていました。
実際、その種のスパイウエアを何度か調べ上げ、VBSやHTAスクリプトが書き込まれているのを突き止めたこともあります。

所が、本件、beerserverさんが、このスレッドに"%1"と書きこまれただけで、このページまでもがウィルス感染ページにされてしまったではありませんか。

スクリプトでもなんでもない、本文中に"%1"の文字があるだけでマカフィは、そのページをウィルス感染とみなしていることがわかりました。

私自身、スパイウエアには慣れているつもりでしたが、マカフィさんのお出ましに、完全に一杯食わされてしまいました。仰せのとおり「落ち着き」が肝心ですね。
まさか、あのマカフィーさんが・・・ 驚きです。

補足日時:2004/04/13 15:03
    • good
    • 0

その質問はどれか把握していますのでその質問に回答をした方の名誉のために言っておきますが問題があったのは質問者が貼り付けていたURLの方で回答側の詐称URLではありません。

(質問はどれかは伏せておきます)

ちなみにExploit-URLSpoofはマカフィーによるとこれですね。

参考URL:http://www.nai.com/japan/security/virE2003.asp?v …

この回答への補足

早速の情報有難うございます。
そして、的確な対応、お見事だと思いました。

再現性があるので、取り敢えず「緊急!未確認情報」と言うことでImpressさんに照会して置きました。

私のパソコンのスキャン経過。
2004_04_13_Tue._12_03_38
ファイル数:50,000 Over 感染:なし

補足日時:2004/04/13 11:58
    • good
    • 0

それがおきたページは覚えてますか?


「参考URL:」という欄があると思いますが,
そのに記述されていたURLが詐称URLだったのでしょう.

参考URL:http://internet.watch.impress.co.jp/cda/special/ …

この回答への補足

申し訳ありません。覚えておりません。
「教えてGoo」のページ内であることは確かです。
多数のページを次々に閲覧している最中のことですし、いい加減なことを申し上げるわけにも行きません。
今度遭遇したらとっ捕まえてやろうと思っています。
取り敢えず有難うございます。

補足日時:2004/04/13 11:04
    • good
    • 0
この回答へのお礼

えらいこっちゃ!また出よりました!
2004_04_13_Tue._11_13_39頃
今度は再現性ありです。
そして皮肉なことにp964さんご紹介のページです。
リアルタイムスキャンが出来ない方は「参考URL」へアクセスしない方がよさそうです。

マカフィーのアラートではURLは表示されません。
キャッシュファイルのファイル名「1522[1].htm」と表示されるだけです。
ご紹介のページを表示してリフレッシュボタンを押すと同じアラートが出ます。

現在、システムドライブをウィルススキャン中です。
スキャンしたファイル:13792 感染ファイル:ゼロ
スキャン速度が遅いので1時間くらいかかりそうです。

お礼日時:2004/04/13 11:36

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!