最近、「幼稚園脅迫メールで逮捕された男性が保釈」、「大阪市のホームページに送られた犯罪予告メールで逮捕された男性が保釈」と、ウィルスに感染したPCが遠隔操作され、そのPCの持ち主が逮捕されるというニュースがあります。メールにはヘッダ情報が付いていますので、「Received:」を見ると、どこからどのような経路で送られてきたのかがわかります。その一番最初を確認すれば送信主のIPアドレスがわかるため、逮捕という事になったのでしょう。ホリエモンのメール問題の時も、ヘッダ情報まで書かれていればあんなことにはならなかったはずです。
今回のニュース記事にはセキュリティソフトが入っていたのか入っていなかったのかは書かれていませんが、新しいウィルスやマイナーなウィルスにはセキュリティソフトも対応できないと思います。以前、会社の同僚のPCがウィルスに感染ていましたが、こちらもセキュリティソフトはインストールされていましたが、大量の迷惑メールを送っていたようです。
そこで、コマンドプロンプトを利用して、どのような通信が行われているかを確認して、おかしな動きがないかをチェックしてみましょう。Windowsの場合はコマンドプロンプトを開きます。Windows 7の場合はスタートメニューから「プログラムとファイルの検索」に「cmd」と入力して「Enterキー」を押します。そうすると黒い画面(コマンドプロンプト)が表示されるはずです。
「C:\>」のようになっているところに「netstat -f」と入力して「Enterキー」を押します。ブラウザなどを大量に開いている場合は、かなり長い結果になるため、Windowsを再起動して、ソフトを何も起動せずに数分後に実行すると良いと思います。数分経てばウィルスも自動起動しているでしょう。
ここで、外部アドレスを確認します。「IP or HOST:Protocol」という形になっているはずです。このProtocolにはhttpやhttps、smtp等が入ります。IP or HOSTにはホスト名かIPアドレスが入ります。ローカルアドレスが、127.0.0.1というのは自分のPCです。上記の内容の場合は、v-client-5b.sjc.dropbox.comとhttpsで通信している等がわかります。
ここで、知らないホスト名、IPアドレスがある場合は要注意です。216.52.233.157は名前解決ができていませんので何かを確認してみます。WHOISで確認すると「LOGMEIN, INC.」で、自分でインストールしたものですので問題ありません。Dropboxも自分でインストールしています。上記の内容からは特に問題は見当たりません。
気にしなければならないのが、「******:smtp」となっている場合です。smtpというのはメール送信のプロトコルですので、メールソフトを起動していないのにsmtpが大量に出てくる場合は迷惑メールを送っている事になります。この場合はウィルス対策ソフト等をアップデートする、問題のPCをインターネットから切断する等の対応が必要になります。ウィルス対策ソフトをインストールしていてもsmtpが消えない場合は、パソコンに詳しい人に相談すると良いでしょう。
それにしても、今回のウィルス感染を招いたフリーソフト名が公開されない理由って何でしょうね。
ピンバック:PCの遠隔操作のウィルスが判明したようです「iesys.exe」を検索してみよう | 菊地崇仁ブログ「ポイ探社長のブログ」