2009 年 5 月 1 日

新作ウイルスゲットだぜ！

連日ウイルス話が続くのが申し訳ないが、今のところ他に話題も無いので結局辟易としながらもウイルス話を続ける。

今まで個人でもらうウイルスの量なんてたかがしれていたし、私の周りにはMacユーザが多いのでそういう人達からあまりウイルス付きメールというものももらわない。
ところが最近にわかシステム管理者みたいなまねごとをやらされているせいで、一日に何十というメディアやPCをスキャンするものだから、膨大なウイルスコレクションが増えてしまった。
検疫するたびに新種を見つけたら、検体サンプルとして保管するのでこれが結構な種類ある。

新種のVirutも今日ゲットしてしまった。
ちょっと古いNetskyも手に入れたし、Autorun1792とかのスクリプトだけでなくついに本体も捕獲した。

世の中にはスゴい量のウイルスがあって、それが蔓延しているのだということを改めて認識した。
さらにこのウイルスの蔓延は何が原因かということにも思いが及ぶ。

今日、話を聞いた専門家はこの問題に非常に深い造詣を持っていて、話を聞いて非常に参考になったのだが、
「Macユーザがたくさんいる会社はセキュリティ意識が低い。
そういう会社とやり取りするファイルはウイルスまみれだ」
とおっしゃっていた。

私は敢えて反論しないで
「Macユーザは自分は安全だから油断しているケースは確かに多いかもしれない」
と話を合わせておいた。

ウイルスが蔓延する理由をMacユーザのセキュリティ意識の低さのせいにされてはかなわないが、しかし彼なりに経験則で話している話だし、一理あるとは思った。
最近特にそういうMacユーザが増えているだろう。
Macユーザこそ玉石混淆になっているというか、上級者もいれば、本当にウイルスの媒介者になっているようなユーザも増えているだろうということは想像できる。

Macユーザはウイルスが蔓延するのはWindowsが欠陥だらけで、Windowsユーザがセキュリティ意識が低いせいだと思っている。
ところがWindowsの視点から見れば、Macユーザの集団からもらうファイルはウイルスまみれだということになる。
どちらも一理あるかもしれない。
いまだに
「Macを使うメリットはウイルス対策ソフトが要らないということだ」
なんてことを言いきるMacユーザがいるからだ。
しかもネットで高らかにそんなことを宣言するから、Windowsユーザにそんなことを言われるのだと思う。

今日は新種のウイルスコレクションを眺めながらそんなことを考えてしまった。

次はConflickerあたりのサンプルが欲しいな。(^_^;)

本日も新種ウイルスをゲット
VirutというAutorunと別種ながらAutorun機能を身につけた亜種を捕獲した

網にかかるのはほとんどAutorun34、1792などの
Gammima系ワームだが、時々目新しいのも引っかかる
ウイルスコレクションも随分充実してきた

bicoid STUDIO

起動するとプレビュープラグインのような操作画面が現れる。
ムービーを押すと１０秒録画する。
オーディオを押すと２秒録音する。
それぞれのデュレーションタイムを変更する設定がどこかにあるのかどうかはよく知らないそれぞれのデュレーションタイムを変更する設定がどこかにあるのかどうかはよく知らない。

それにしてもbicoidさんは前作のスクリン・クロラといいハイペースだ。

bicoid STUDIOはQuickTime Proの録音録画機能をコントロールするアプリ
操作感は迷うようが無いほどシンプル

2009 年 5 月 2 日

先日来のウイルス騒ぎで、大変化が起きそうな・・・

先日のウイルス騒ぎで大変なことになりそうな・・・いや、ウイルスの駆除の方は概ね成果を挙げている方向になって来ているのだが、それで何か大きな変化が起きそうな雰囲気が・・・・

人間一寸先なんてわからないものだ・・・・

2009 年 5 月 3 日

セキュリティードクター

Macのセキュリティに関する設定を一元管理するアプリ

設定できるのはシステム環境設定で扱っているセキュリティの設定と、オンラインウエアの扱うセキュリティ設定ばかりで目新しい機能は無いが、一元で管理できるというのは便利かもしれない。
例えばsshの設定がちゃんとオフになっているかとか、一時期脆弱性も取りざたされたリモートデスクトップがちゃんとオフになっているかとか、一カ所で見巡れる。

扱う設定は
ターミナル、ログインウインドウにアラートの文面を表示する
ドックを自動的に隠す
Dashboardを無効にする
安全な仮想メモリを使用する
DVD、CD共用を無効にする
SSHリモートログインを無効にする
リモートデスクトップを無効にする
Bluetoothを無効にする
オーディオカーネルを無効にする
USBを無効にする
Firewireを無効にする
など

セキュリティードクターはプリセットも利用できる
また自分のオリジナルのプリセットも作成できる
これらの機能はシェアウエア登録した人だけが利用できる

例えば面白いと思ったのはログインウインドウや
ターミナルにアラートなどの文面を表示できること
UNIXの名言を表示させてみた

ターミナルを起動すると入力した文章が表示される
bashなので日本語も表示できる筈だ（試していないのか?>オレ）
bashrcに文字列を書き込むという方法ではなく別の方法で表示している
どういう方法なのかわからないのだが

他の設定としては「ドックを自動的に隠す」、「Dashboardを無効にする」
「安全な仮想メモリを使用する」などがある

次のタブには「DVD、CD共用を無効にする」、「SSHリモートログインを無効にする」
「リモートデスクトップを無効にする」などがある

最後の項目は「オーディオカーネルを無効にする」、
「USBを無効にする」、「Firewireを無効にする」という感じ
一カ所で管理できて便利だと感じるか、他で代用できる機能ばかりで
必要ないと感じるかは各人の事情によるだろう

元の状態に戻すボタンを試してみたが・・・

ターミナルの設定は残ってしまった
他の設定も残っている

結局ひとつずつ設定を戻して再起動して設定を戻すことにした
その間毎回数回パスワード入力も要求されてかなりメンドクサイ

それでやっと元に戻ったのだが「you have mail.」という文字列は
どういうわけか残ってしまった
ちょっと泣き

2009 年 5 月 4 日

Virus Chaser

これはある程度ヒューリスティックなスキャンをするウイルス対策ソフト。

それがインストールされてPCの外部からウイルススキャンをするUSBデバイスを使っている。

USBメモリと同じような形をしているが、ここにウイルス対策ソフトがインストールされていて
PC本体にウイルス対策ソフトをインストールしなくてもスキャンできる
今のところネット販売のみで店頭では販売されていない

またまたウイルス話で申し訳ない。
ウイルス騒ぎで騒動になって、どういうわけかその対策のお鉢が私に回ってきたわけだが私自身は別にWindowsの上級者でもないし、大体この今のシステムの内容には反対していたわけだ。

そんなにウイルスがコワいならワクチンサーバを入れてネットワーク全域を対策ソフトにスキャンさせればいいではないかと、ここまで読んでこられた方は思うかもしれない。

それはまことに正しい。

私が反対していた理由も、そういうことができないシステムはシステムとして問題があるということだった。
ところが私が担当することになったネットワークは、いわば巨大な無菌室のような状態になっているのだ。

主力のクライアントマシンに入っている業務ソフトが非常に負荷が高く、そこにシマンテック程度のウイルス対策ソフトを入れてもクライアントがスタックしてしまう。
Autorun程度でダウンしてしまうシステムだから致し方ない。
そういうクリティカルな機械は、普通はスタンドアローンにしてネットワークからは切り離して使うものだ。
ところが、この無菌室の中でしか動かないマシーンでネットワークを構成してしまった。
だからネットワーク全体が巨大な無菌室になっているのに、外部とは数値データをマシーンレベルでも人為レベルでも常時やっていないといけないという恐ろしいシステムになってしまった。

このネットワークの構想を立てた人物は「こんなことになるとは思っていなかった」とおっしゃっている。
だから、この無菌室をどうやって保守、防衛するかということが全く考慮されていない。

そこで、結局ネットワークの一部を切って、やり取りするデータは指定のUSBメモリ、外付けハードディスクだけでやり取りして、そのルートを検疫ソフトを入れたパソコンで常時監視してネットワークにマルウエアが侵入することを防ぐという、非常に泥臭いことをやっている。

しかしこの対策も万全ではないし、対策ソフトをすり抜けるウイルスも必ずいる筈だ。
そこでこの Cshieldstick Vを使ってウイルス対策ソフトを入れられない機械を監視するということをやっている。

USBを介して全域スキャンしているので、非常に時間がかかるしWindowsのファイルシステムのルールでスキャンしているのでやはり見落としがある可能性もある。
システムボリュームインフォメーション領域を完全にスキャンしているのかとかの振る舞いもよくわからない。
それでもこれでこまめに監視していれば、何か異常がある時には気がつくのが早いだろう・・・というこれまた泥臭いことをやっている。

このCshieldはそういう泥臭い要求によく応えていると思う。
ただ、もうちょっと作業を能率化したいところだ。

一般的なUSBメモリのような形をしたCshieldだが差せば
それこそ「Autorun機能」を利用して自動的にスキャンを始める

スタータストレイのアイコンを右クリックして設定を呼び出す
更新はネットにつながったWindowsに差すことで自動更新するしマニュアルでもできる

更新が始まるとこんな感じ

スキャンする領域を選択できるしメモリスキャンなどもできる
オンラインドライブも見えているので時間がかかるのを我慢できれば
それもスキャンできる

2009 年 5 月 8 日

Terminalに現れた「you have mail」の文字列は文字通りメールだった

前回、セキュリティードクターというアプリを紹介した項目で、
「Terminalに「you have mail」という文字列が残ってしまった」
という話を書いたところ、さっそく「mzch」さんから、それはUNIXのmailコマンドの表示ではないかというご指摘があった。
確認したところまさにその通りだった。

mailというコマンドを打ったところ、
/usr/loal/clamXav/bin/ のclamが発したスキャンリポートとアラートがその内容だった。

clamをテストした時に、なにか「メールで通知」というような設定のチェックを入れたのかもしれない。
あまり記憶が定かではないが，そういう辺りが原因だと思う。

情報いただいた「mzch」さん、ありがとうございました。

上記アプリをテストしていた時にTerminalにこういう文字列が残ることに気がついた
この意味はUNIXユーザな誰でも知っている「通知を受け取った」状態なのだそうだ
私は不勉強にも知らなかったが

メールの受信状況、内容を見るのはmailというコマンドを打つ

発信者はClamXavのclamエンジンで、ステータスの通知とアラートを含んでいる
管理者には便利な機能だと思う

「mail」の受信を完了すると例の文字列は消えた
clamの「メールで通知」の設定にチェックを入れるとまた現れると思われる

2009 年 5 月 10 日

Symantec AntiVirusをアンインストールする時にパスワードが要るなんて聞いてなかったよ〜〜(°д°)／on Windows

先日来セキュリティソフトの各種を次々テストしていて、Windows版のSymantec AntiVirusも別のボリュームライセンス版に載せ替えることになった。
Macなら単純にFinderで削除でいいのだが、Windowsの
「プログラムの追加と削除」
でこのアンインストールをやるとちょっと困ったことになる。

そう、ご批判があるにもかかわらずまたまたWindowsの話題で申し訳ない。

「プログラムの追加と削除」でSymantec AntiVirus本体をアンインストールしようとすると、パスワードを要求されるのだ。
ところがこのパスワードはAdministratorのパスワードではダメで、アカウントのパスワードも全部
「パスワードが正しくありません」
という表示になる。
パスワードについては管理者に尋ねろという趣旨のアラートが出るが、オレがその管理者なのだ！
パスワードのことなんて何も聞いていないぞ！┗(-＿-;)┛

ググることしばらく、こういう場合、パスワードを特に設定していないなら
symantec
なのだそうだ。

意味が分からん。
なぜこんなパスワードを要求するのだろうか？
アンインストールを阻止して「シマンテック製品を引き続きご愛用ください」という意味なのだろうか？

Symantec AntiVirusを「プログラムの追加と削除」で
アンインストールしようとするとパスワードを求められる
管理者パスワードも通らない
調べたところこの場合パスワードは「symantec」なのだそうだ
意味が分からん