龍谷大学理工学部における ウイルス感染事例 part 2
DESCRIPTION
龍谷大学理工学部における ウイルス感染事例 part 2. 龍谷大学理工学部 小島 肇. 背景となる 状況. Story Backgrounds. 龍谷大学. 標準のアンチウイルスソフトとして、マカフィー製品を導入 Windows: VirusScan Enterprise (VSE) Mac: VirusScan for Mac. 龍谷大学 現在. Ryukoku University Present Time. ウイルスとの闘いは続いていた. from “ALIENS”. 周り中反応だらけだ!. from “ALIENS”. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: 龍谷大学理工学部における ウイルス感染事例 part 2](https://reader036.vdocuments.site/reader036/viewer/2022081511/56813578550346895d9cdc4f/html5/thumbnails/1.jpg)
龍谷大学理工学部におけるウイルス感染事例 part 2
龍谷大学理工学部小島 肇
![Page 2: 龍谷大学理工学部における ウイルス感染事例 part 2](https://reader036.vdocuments.site/reader036/viewer/2022081511/56813578550346895d9cdc4f/html5/thumbnails/2.jpg)
背景となる状況
Story Backgrounds
![Page 3: 龍谷大学理工学部における ウイルス感染事例 part 2](https://reader036.vdocuments.site/reader036/viewer/2022081511/56813578550346895d9cdc4f/html5/thumbnails/3.jpg)
龍谷大学
3
標準のアンチウイルスソフトとして、マカフィー製品を導入
Windows: VirusScan Enterprise (VSE) Mac: VirusScan for Mac
![Page 4: 龍谷大学理工学部における ウイルス感染事例 part 2](https://reader036.vdocuments.site/reader036/viewer/2022081511/56813578550346895d9cdc4f/html5/thumbnails/4.jpg)
龍谷大学現在
Ryukoku UniversityPresent Time
![Page 5: 龍谷大学理工学部における ウイルス感染事例 part 2](https://reader036.vdocuments.site/reader036/viewer/2022081511/56813578550346895d9cdc4f/html5/thumbnails/5.jpg)
ウイルスとの闘いは続いていた
5
from “ALIENS”
![Page 6: 龍谷大学理工学部における ウイルス感染事例 part 2](https://reader036.vdocuments.site/reader036/viewer/2022081511/56813578550346895d9cdc4f/html5/thumbnails/6.jpg)
周り中反応だらけだ!
6
from “ALIENS”
![Page 7: 龍谷大学理工学部における ウイルス感染事例 part 2](https://reader036.vdocuments.site/reader036/viewer/2022081511/56813578550346895d9cdc4f/html5/thumbnails/7.jpg)
周り中反応だらけだ! (proxy sever’s log)
7
133.83.a.a - - [03/Dec/2009:19:14:27 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327133.83.a.a - - [03/Dec/2009:19:14:27 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327133.83.a.b - - [03/Dec/2009:14:52:17 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336133.83.a.b - - [03/Dec/2009:14:52:17 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336133.83.a.c - - [03/Dec/2009:16:51:28 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336133.83.a.c - - [03/Dec/2009:16:51:28 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336133.83.a.c - - [03/Dec/2009:16:52:04 +0900] "GET http://www.googledf2.com/1rb/ar1.rar HTTP/1.0" 200 459133.83.a.c - - [03/Dec/2009:16:52:06 +0900] "GET http://www.yahoo1xh.com/1rb/ar.rar HTTP/1.0" 401 1325133.83.a.c - - [03/Dec/2009:16:52:06 +0900] "GET http://www.yahoo1xh.com/1rb/ar.rar HTTP/1.0" 401 1325133.83.a.c - - [03/Dec/2009:16:52:27 +0900] "GET http://mk27w.com/1rb/ar1.rar HTTP/1.0" 200 401133.83.a.c - - [03/Dec/2009:16:53:07 +0900] "GET http://www.googledf2.com/1rb/ar1.rar HTTP/1.0" 200 401133.83.a.c - - [03/Dec/2009:16:56:29 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327133.83.d.e - - [03/Dec/2009:11:20:09 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336133.83.d.e - - [03/Dec/2009:11:20:09 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336133.83.f.g - - [03/Dec/2009:13:08:36 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336133.83.f.g - - [03/Dec/2009:13:08:36 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336133.83.f.h - - [03/Dec/2009:12:17:25 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327133.83.f.h - - [03/Dec/2009:12:17:25 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327133.83.i.j - - [03/Dec/2009:19:57:29 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336133.83.i.j - - [03/Dec/2009:19:57:29 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336133.83.k.l - - [03/Dec/2009:10:39:51 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327133.83.k.l - - [03/Dec/2009:10:39:51 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327133.83.m.n - - [03/Dec/2009:16:28:31 +0900] "GET http://www.sinax7l.com/1rb/ar1.rar HTTP/1.0" 200 459133.83.m.n - - [03/Dec/2009:16:28:32 +0900] "GET http://www.yahoo1xh.com/1rb/ar.rar HTTP/1.0" 401 1325133.83.m.o - - [03/Dec/2009:16:28:18 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327133.83.m.o - - [03/Dec/2009:16:28:18 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327
133.83.a.c - - [03/Dec/2009:16:51:28 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336133.83.a.c - - [03/Dec/2009:16:51:28 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336133.83.a.c - - [03/Dec/2009:16:52:04 +0900] "GET http://www.googledf2.com/1rb/ar1.rar HTTP/1.0" 200 459133.83.a.c - - [03/Dec/2009:16:52:06 +0900] "GET http://www.yahoo1xh.com/1rb/ar.rar HTTP/1.0" 401 1325133.83.a.c - - [03/Dec/2009:16:52:06 +0900] "GET http://www.yahoo1xh.com/1rb/ar.rar HTTP/1.0" 401 1325133.83.a.c - - [03/Dec/2009:16:52:27 +0900] "GET http://mk27w.com/1rb/ar1.rar HTTP/1.0" 200 401133.83.a.c - - [03/Dec/2009:16:53:07 +0900] "GET http://www.googledf2.com/1rb/ar1.rar HTTP/1.0" 200 401133.83.a.c - - [03/Dec/2009:16:56:29 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327
133.83.a.c - - [03/Dec/2009:16:51:28 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336133.83.a.c - - [03/Dec/2009:16:51:28 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1336133.83.a.c - - [03/Dec/2009:16:52:04 +0900] "GET http://www.googledf2.com/1rb/ar1.rar HTTP/1.0" 200 459133.83.a.c - - [03/Dec/2009:16:52:06 +0900] "GET http://www.yahoo1xh.com/1rb/ar.rar HTTP/1.0" 401 1325133.83.a.c - - [03/Dec/2009:16:52:06 +0900] "GET http://www.yahoo1xh.com/1rb/ar.rar HTTP/1.0" 401 1325133.83.a.c - - [03/Dec/2009:16:52:27 +0900] "GET http://mk27w.com/1rb/ar1.rar HTTP/1.0" 200 401133.83.a.c - - [03/Dec/2009:16:53:07 +0900] "GET http://www.googledf2.com/1rb/ar1.rar HTTP/1.0" 200 401133.83.a.c - - [03/Dec/2009:16:56:29 +0900] "GET http://www.yahoo1xh.com/1rb/ar1.rar HTTP/1.0" 401 1327
![Page 8: 龍谷大学理工学部における ウイルス感染事例 part 2](https://reader036.vdocuments.site/reader036/viewer/2022081511/56813578550346895d9cdc4f/html5/thumbnails/8.jpg)
最近のヤラレパターン ウイルス定義ファイルは正常に更新されているけれ
ど、アンチウイルスソフトウェアは何の役にも立っていない
8
![Page 9: 龍谷大学理工学部における ウイルス感染事例 part 2](https://reader036.vdocuments.site/reader036/viewer/2022081511/56813578550346895d9cdc4f/html5/thumbnails/9.jpg)
Artemis を使え、ルーク
9
from “STAR WARS Episode IV”
![Page 10: 龍谷大学理工学部における ウイルス感染事例 part 2](https://reader036.vdocuments.site/reader036/viewer/2022081511/56813578550346895d9cdc4f/html5/thumbnails/10.jpg)
McAfee Artemis Technology クラウドベースのサービス
疑いのあるファイルが確認された場合、 Artemis はデータベースサーバに DNS 要求を送信。サーバはそのプログラムが悪意のあるファイルか否かを確認し応答
一般消費者向けの製品では「 Active Protection 」として搭載
10
http://www.mcafee.com/japan/security/gti_artemis.asp より、一部改変して掲載
![Page 11: 龍谷大学理工学部における ウイルス感染事例 part 2](https://reader036.vdocuments.site/reader036/viewer/2022081511/56813578550346895d9cdc4f/html5/thumbnails/11.jpg)
McAfee Artemis Technology
11
![Page 12: 龍谷大学理工学部における ウイルス感染事例 part 2](https://reader036.vdocuments.site/reader036/viewer/2022081511/56813578550346895d9cdc4f/html5/thumbnails/12.jpg)
Artemis を有効化すると…… 「非常に低」(次回の DAT と同等の検出)では発
見できない事例多数 VSE 8.7i patch 2 同梱版でのデフォルト設定
「低」(今後 DAT に追加予定のファイルの検出)にすると、とたんに発見できた事例を複数確認 個人的にはこれを推奨中
「中」「高」「非常に高」に設定しても、検出率的にはあまり変わらないような気が……
12
![Page 13: 龍谷大学理工学部における ウイルス感染事例 part 2](https://reader036.vdocuments.site/reader036/viewer/2022081511/56813578550346895d9cdc4f/html5/thumbnails/13.jpg)
Artemis はいつも君と共にある
13
from “STAR WARS Episode IV”
……ネットにつながっていれば
![Page 14: 龍谷大学理工学部における ウイルス感染事例 part 2](https://reader036.vdocuments.site/reader036/viewer/2022081511/56813578550346895d9cdc4f/html5/thumbnails/14.jpg)
質問?