mmd333
1
ノートンゴースト12を使用しています。OSはXP PRO です。
パソコン内蔵HDDがウイルスに感染していないときに外付けHDDにバックアップを取ると仮定します。
(外付けHDDもまったくウイルスに感染していない状態です)
内蔵HDDがウイルスに感染したときに、感染前の状態に戻すためにリカバリーディスクからブート、そして外付けHDDのバックアップデータからリカバリーした場合、内蔵HDDから外付けHDDにウイルス感染が拡大するということはありますでしょうか?
リカバリーディスクを使ってバックアップデータから復元するときには、内蔵HDDと外付けHDDが認識される必要があると思うのですが、そのときに内蔵HDD内にあるウイルス(MBR部分にあるウイルスなど)が活動することによって、内蔵HDDから外付けHDDに感染が拡大する可能性です。
mmd333
2
ノートンゴースト12を使用しています。OSはXP PRO です。
パソコン内蔵HDDがウイルスに感染していないときに外付けHDDにバックアップを取ると仮定します。
(外付けHDDもまったくウイルスに感染していない状態です)
内蔵HDDがウイルスに感染したときに、感染前の状態に戻すためにリカバリーディスクからブート、そして外付けHDDのバックアップデータからリカバリーした場合、内蔵HDDから外付けHDDにウイルス感染が拡大するということはありますでしょうか?
リカバリーディスクを使ってバックアップデータから復元するときには、内蔵HDDと外付けHDDが認識される必要があると思うのですが、そのときに内蔵HDD内にあるウイルス(MBR部分にあるウイルスなど)が活動することによって、内蔵HDDから外付けHDDに感染が拡大する可能性です。
mmd333
3
横からごめんなさい。
MBRに感染するウイルスについてですが、 もしかして、これ系のことでしょうか?
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-091809-0911-99
ルートキットなので、厳密にはウイルスではないですが、
こんなのがある以上、 MBRが書き換えられる恐れは確かにあることになります。
ですが、Naoさんが挙げられているように、恐れるよりもまずは予防が大事です。
ゴーストをお持ちなら、 クリーンなうちにバックアップを取っておくべきです。
そのためのソフトなのですから。
mmd333
4
Naoさん、トロの箱庭さん
返信ありがとうございます。
>MBR感染のウイルスに当たったことがあるのですか?、すごく心配しているようなので気になります。もし経
験があるのなら実例を挙げてもらった方が、いっしょに対策を考えるのに良い気がします。
進化した最新のウイルス状況を知りまして、あわてて勉強しているところで、MBRに対する関心はそのうちのひとつになります。
>POSTが終わって各デバイスを初期化する段階
これはbiosでそのパソコンにどのようなデバイスがあるか調べ、認識している段階ですよね。
このままパソコンの起動が続行されると、通常は内蔵HDDのMBRが読み込まれるが
パソコン起動時にF12を連打していれば、[POSTが終わって各デバイスを初期化する段階]の処理が終わった後
ブートデバイスを選ぶ画面になり、CD-ROMドライブを選べば、リカバリーディスクが起動するので
内蔵HDDのMBRは読み込まれないと思います。
ただ、その後、起動したノートンゴーストは内蔵HDDと外付けHDDをリカバリーする際に認識する必要があると思うのですが
そのときにMBRが読み込まれるということはないでしょうか?
ubuntuのようなリナックスOS(OSそのもの)から起動した場合は、すでにOSは起動されているので
内蔵HDDや外付けHDDを認識するときに、OSを起動させるのに必要な内蔵HDDや外付けHDDのMBR部分を
読み込む必要はないと思うのですが
ノートンゴーストはOSそのものではなく、OS上で動くソフトなので、
起動した後のノートンゴーストはOSを起動させるために、内蔵HDDと外付けHDDのMBR部分を読み込みにかかる
ということはないでしょうか?
mmd333
5
MBR以外にautorun.inf についても質問させてください。
https://forums.ubuntulinux.jp/viewtopic.php?id=3123
↑にあるようにリナックスOSだとautorun.inf は実行されないようですが
CD-ROMドライブからノートンゴーストをブートさせた際に、ノートンゴーストが内蔵HDDや接続されている外付けHDDを認識すると同時に
内蔵HDDや外付けHDD内にあるautorun.inf が実行されることはないでしょうか?
ノートンゴーストはwindows OS上で動くソフトなので、リナックスOSと異なりautorun.inf が実行されるのではないかと疑っています。
もしかすると、windows OS上で動くソフトをCD-ROMドライブから起動させた場合、そのソフト自体にはOSがないので
そのソフトが起動していても大元のOSは機能していなくて、autorun.inf は実行されない という結果になるのでしょうか?
mmd333
6
mmd333さん
んと、私もウィルスの構造に詳しいわけでは無いのでお答えできる部分が限られてしまうのですが。。。
例えるなら、MBRは本の目次だと思って下さい、全ての人が本を開いて一番初めに目にする場所です。
ウィルスの本体は改ざんされた最終章に書かれている、なのでウィルスは目次(MBR)を改ざんして強制的に最終章を読むように仕向ける。
で、最終章に書かれている事を鵜呑み(ウィルス感染)して、PCは悪さをしてしまう、と言う感じです。
この場合の正常な目次には、ストレージのパーティションの状態や、どのパーティションからブートするかが書かれています。
しかしウィルスに感染した目次には「起動したら先ず最終章を読め!」とだけ書かれていて、本来の決まった目次のフォーマットに合っていないので、Ghostなどディスクパーティションを操作するソフトから見ると、なんだこれ?となります。
つまり、感染ドライブからブートシーケンスを実行しなければ、MBR感染型のウィルスは基本的に悪さができません。
Ghostからリカバリーするときはリカバリーディスク(CD・DVD)からのブートですし、ターゲットディスクの使用状況を把握するためにMBR(目次)は読みにいきますが、それ以外(最終章)は読みにいかないので、そのままリストアしてしまえば綺麗に上書きされてウィルスは消えてしまいます。
Ubuntuの起動はCD起動を指しているのかな?、であればリカバリーディスクからのブートと同じ状態ですね。
今後、更に高度なウィルスが登場するかもしれませんが、現在出回ってるトロイの木馬系のウィルスはこんな感じでしょうか?。
こんな記事もあったので参考にしてください。
MBR 感染型がまた流行か
mmd333
7
このフォーラムでは、1質問1スレッドがルールなので、次からは分けるようにしてくださいね。
Windowsでのautorunはアップデートパッチで対策されていて、ちゃんとパッチがあたっていれば、今はautorunは自動で実行されない設定のはずです。ご自身で設定をautorun有効に設定した場合は別です。参考web
Ghost15のSymantec Recovery Disk CDはWindowsPEが入っていたと思います。
手元にないのでテストできないのですが、確か自動起動はしなかったと思います。
もしよければ、USBメモリにアプリケーションCD等に入っている無害なautrun.iniをコピーして、Symantec Recovery Disk CDで起動した状態のPCにUSBメモリを差してみてください。
そもそもアンチウイルスソフトで保護されたストレージならば、有害なautorunは検疫されているはずなので心配する必要はないかと思います。
アンチウイルスソフトが動いていないPCに検疫されていないUSBメモリやあやしいCDを入れたりしなければ、ですが。。
Nao_ja
8
mmd333さん
MBR感染のウイルスに当たったことがあるのですか?、すごく心配しているようなので気になります。もし経験があるのなら実例を挙げてもらった方が、いっしょに対策を考えるのに良い気がします。
おさらいですが、MBRはたった512byteしかありません、なのでMBR感染のウイルスは大した動作はできません。しかしストレージを起動できなくするというクリティカルな事象は引き起こすことは可能です。
なので、PCが起動するのにPOSTが終わって各デバイスを初期化する段階で、MBRを読みに行くと言う動作があって初めて稼働する仕組みです。
ということで、リカバリーディスクからブートしていれば感染ドライブのMBRは自動では読み込まれないので、感染ドライブから外付けのHDDに何かするということは無いですね。
根本的な問題として、
・ウイルスに感染するようなあやしい行為はしないこと。
・ちゃんとしたアンチウイルスソフトを入れてあれば感染する心配は無いでしょう。
・それほど心配ならXPの様な比較的MBRにアクセスしやすいOSは止めて7等の最新のOSにすべき。
です。