日本郵政を語るメールに Rovnix が添付されていて Microsoft Safety Scanner で駆除しました。これで安全と言えるのでしょうか?

対応に困っております。お知恵をお貸し願います。

先月の2月29日に弊社の代表メールに、日本郵政を語る内容のメールが添付ファイルと一緒にとどきました。

代表メールより、総務、経理にメールが転送され、計4台のパソコンにメールが届き、各担当が日本郵政を語っていたので添付ファイルを開いてしまい、実効した所、ウィルスであったことが判明しました。調べていくと『Rovnix』というトロイの木馬的なウィルスで有ることがわかりました。

ウイルスバスターコーポレートエディションを入れており、すぐ隔離はされましたが、その後パソコンから不正なURLに自動で閲覧にいくようになり、その都度、ウイルスバスターがブロックします。 ウイルスバスターで検索しましても、不正プログラムは無いとの結果がでます。

 ウイルスバスターのサポートに問い合わせを何度もし、結果パソコンのブート領域にウィルスがあるので、フォーマットとリカバリをして下さいとの

回答がありました。フォーマット、リカバリに時間を要す為、他に手がないか検索してましたら、マイクロソフトセーフティスキャナーを見つけ10日間無料でしたので、ダウンロードし検索したところ、感染ファイルが見つかり、駆除してもらいました。

そこでご質問ですが、マイクロセーフティスキャナーはブート領域まで検索し駆除できる製品なのでしょうか?また、これで安全といえるのでしょうか?

ご回答をおまちしております。

**モデレーター注**

タイトルを編集しました。

編集前タイトル : 日本郵政を語るメールについて

 

質問情報


最終更新日 2018年5月15日 表示 803 適用先:

ウイルスを開いた時点で安全などありません。

トレンドマイクロのいうとおりです。

すぐにネットワークから切り離して、同一ネットワーク上にあったものは全台初期化が妥当だと思います。

その上で社員教育を徹底した方がよいかと思います。

手間がかかるので嫌だということですが、

社内や顧客の情報などにその価値は無いと言っているように取られますよ。

大事になったら会社自体なくなるかもとは思わないのでしょうか。その辺はその会社の考え次第ですが。

この回答で問題は解決しましたか?

役に立ちませんでした。

回答としてマークしていただきありがとうございます。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。

この回答の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。

深刻だなあと思います。

❶企業のPC(ネットワーク)が感染してしまったという事。個人PCとは比較になりません。企業規模や、社内のネットワークの構築様式次第では、セキュリティーの専門企業に徹底的な解析と解決を依頼しない限り、御社のIT環境は全滅する可能性があります(脅かしているわけではなく)。

http://d.hatena.ne.jp/Kango/20150617/1434513767

http://itpro.nikkeibp.co.jp/atcl/column/15/082000199/082000001/

標的型攻撃と、本件のような「バラマキ型」と違いはありますが、感染してしまえば実態は同じです。

❷トレンドマイクロが「結果パソコンのブート領域にウィルスがあるので、フォーマットとリカバリをして下さい」とコメントしたわけですね?最悪の結果じゃないですか。MBRが感染したと言っているんですよ。それがどれほど深刻な事態であるか、ご理解されてますか?

一番簡単な解決法をお伝えしておきましょう。新しいHDDを買ってきてください。その新しいHDDを感染したPCに入れ替えて、リカバリDiskから再インストールをすれば良いのです。そして今回の感染を阻止できなかったウイルス対策ソフトの製品はアンインストールし、K社(カスペルスキー)のような性能の高いウイルス対策ソフトを使いPCを防御するのです。感染して取り出した感染HDDは「HDDケース(安価です。尼ゾンの通販で安価に購入できます)」に入れ、外付けHDDのようにしてから、PCに接続し、K社のウイルス対策ソフトでフルスキャンをするなどしてから必要なデータだけを取り出してください。これが一番簡単で確実な解決策です。

❸さてと。個人の1台だけのPCならばHDDを交換してしまえば解決ですが企業となると話は別です。しかも各担当が「それぞれ」Rovnixを実行しており最低4台の企業内PCが自爆感染しているわけですね。感染は1台感染に成功すればそこから企業内ネットワークを経由してねずみ算のように感染拡大してゆきます。感染してから発覚するまで何日経過しているんでしょうか?感染した初日に発覚し、速やか対処しておれば社内LANを経由して他のPCや、サーバーへの感染拡大リスクはほぼ無いのですが、数日経過してから気がついたという場合は、企業内PC、ネットワーク、サーバー感染拡大はあり得るかも知れません。

https://www.malwarebytes.org/antirootkit/

デンセツマツオ さんは企業ですから有償製品を購入して対処しなければいけないのですが、この削除toolはBETA版なので企業でも無償で利用できるはずです。BETA版の意味をよく理解の上、お使いください。このtoolを使い他のPC全部を検査し、もし、1台でもRovnixを検知するようなことがあれば、企業規模次第ですがセキュリティー専門の企業に解析と解決を依頼しなければ企業IT環境が壊滅する虞は極めて高いと思います。

あくまで一例として

http://www.lac.co.jp/

❹デンセツマツオさん。今回のRovnixですがウイルス対策ソフト製品のファイアウォール機能に組み込まれているHIPS機能が優秀なウイルス対策ソフト製品であれば、Rovnixをブロックできたんですよ。どのようなウイルス対策ソフトを選択すべきか、感染をきっかけとして、再検討するべきでしょうね。

この回答で問題は解決しましたか?

役に立ちませんでした。

回答としてマークしていただきありがとうございます。

この返信の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。

この回答の満足度をお教えください。

フィードバックをお送りいただきありがとうございます。