自動復旧のお知らせ by ウイルスバスター

パソコンを立ち上げてデスクトップに表示されたもの
自動復旧のお知らせ by ウイルスバスター

プログラムの起動時に連続して障害が発生しました。安全のために、パターンファイルを前回のアップデート前の状態に自動復旧しました。

「起動時の連続した障害」って何だろう?詳細表示もしてほしいな。障害発生で正常に立ち上がっているのかも不安あり・・・

最新バージョンは2012年版なのに、現在も使い続けている2010年版のウイルスバスターからのお知らせでした。

ウイルスバスター2011・・・の広告

ネットをブラブラしていて見つけた某サイト上に表示されていたウイルスバスター2011の広告
ウイルスバスター2011・・・の広告
「えー!!口座の預金がなくなってる!?それってトロイの木馬の仕業かも?」

いや、もしかしたら自分でイロイロ買い物しているうちに残高が無くなったことを気づいていないだけかもしれませんよ?俺の周りにはそんな経験しているのが何人かいましたから。

ウイルスバスター2011、まだインストールしていません。いつもなら新しいバージョンが出るたびにすぐインストールしていますが、今回はファイアウォール機能が削除されたということで何だか不安が。

替わりにOS標準のファイアウォールを強化する機能があるらしいのですが、テストマシンにインストールして試してみようとするもOSが立ち上がらず修復作業が面倒なので放置状態に。

しばらくは2010年版のまま使い続けるかな

sjdc-wtp-gs-maya6.sdi.trendnet.org

ブログのアクセスログを見ていると、2010年6月8日からIPアドレス 150.70.66.183 からのアクセスが増えているのを確認。150.70.xx.xx・・・何かのアドレスと似ていますね。気になったのでwhoisで調べてみたところ、やはりトレンドマイクロからのアクセスでした。

詳しく調べたワケではありませんが、挙動としては216.104.15.xx150.70.84.xxと同じみたいです。ユーザーエージェントも「Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)」で同じなのですが、違うのが「sjdc-wtp-gs-maya6.sdi.trendnet.org」というホスト名を残していること。trendnet・・・、なんとなくトレンドマイクロを想像できそうな名前ですね。

ブログ記事ページのみならず、今回もカウンタへのアクセスを確認しました。やはり無用なカウントアップを避けたいので、.htaccessで拒否しました。

毎年「トレンドマイクロサーバのIPアドレスが増えました」って書いて対策しているような・・・これからも増えていくの?

トレンドマイクロネタをもう一件。以前ブログにコメントを頂いた方がメールで情報を送ってくれました。ウイルスバスターのトレンドツールバーを有効にしているFirefoxにおいて強制終了する問題があるようで、その修正用アップデータが公開されています。

ウイルスバスター2010 および ウイルスバスター2009
プログラムアップデートのお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1416別ウィンドウでリンクを開きます

私の環境では幸いにも強制終了の現象は起きていませんが、この問題に悩まされている方が多いようで、ようやく解決されるそうです。

アップデートに関する情報掲載は6月1日、自動アップデートでの修正が2010年版の場合6月15日になるそうですが、既に手動アップデート用のファイルが公開されているので、問題が発生している方はこちらをインストールしてみてください。

トレンドマイクロ サポートページ
Firefoxでブラウジング中、Firefoxが強制終了する
http://esupport.trendmicro.co.jp/Pages/JP-2076783.aspx別ウィンドウでリンクを開きます

強制終了の原因がウイルスバスターだと知らないユーザーも多いのではないでしょうか?もっと早く自動アップデートで対応すべきだと思うのですが・・・

お名前は公開してよいものか分からないので伏せさせていただきますが、有益な情報をお寄せいただきありがとうございました。

2010年7月11日 追記

IPアドレス 150.70.64.xx も確認しました。
こちらはホスト名の設定は無いようです。

2010年7月31日 追記

7月30日より 150.70.75.xx も確認しました。

トロイの木馬検出?

ネットでホームページを閲覧していると、パソコンにインストールしてあるウイルスバスターがウイルスを検出しました。

トロイの木馬検出?

過去に一度だけウイルス検出しかなり不安になったことがあるのですが、その時は後に誤警告であることが判明しました。

今回はホームページ閲覧中にリアルタイムで検出。トロイの木馬なので被害がとても心配であるものの、削除されたということで一安心。無知で全く詳しくないのですが、拡張子htcのファイルから感染することがあるのでしょうか?

ウイルス名「TROJ_AGENT.AXFP」をグーグルで検索すると、7月4日にパターンファイルに登録されたばかりのよう。新しいパターンファイルにありがちな誤警告か、それとも新たに検出された本物のウイルスか。もし本当にウイルスが侵入しようとしてきていたのなら怖いな。

2009年7月6日 追記

トレンドマイクロのホームページ上で「パターンファイル6.245.00において誤警告の発生を確認いたしました。」と発表がありました。

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_AGENT.AXFP別ウィンドウでリンクを開きます

最新のパターンファイルで検索して警告が出なければ大丈夫なようです。私の場合はリアルタイム検索で削除されてしまったので確認のしようがありませんが・・・。

おそらく誤警告だと思っていました。しかし、事実が判らないままブログに書くと見てくれた方たちへの混乱を招くことが考えられたので、その点だけは書くのを控えていました。

昨日記事を書いた直後からアクセス数が増加、今日もこの追記を書いている時点で普段の5倍ほどのアクセスがあり、そのほとんどが「TROJ_AGENT.AXFP」での検索によるものです。それだけ多くの方が同じ症状に遭っているということですね。

最後になりましたが、コメントにて誤警告であるとの情報をいただいたFusoAkizukiさん、ありがとうございました。

IPアドレス216.104.15.xx またトレンドマイクロの嫌がらせが・・・

これまでにも当ブログで何度か取り上げてきたトレンドマイクロ社のセキュリティーソフト「ウイルスバスター」のサイトチェック用サーバに新しいのが登場したようです。

当ブログではトレンドマイクロサーバからのアクセスについては、カウンタスクリプトのみサーバの.htaccessを用いて拒否してきました。カウンタスクリプトにアクセスがあった場合403エラーを返しそれを個別にログに記録しているのですが、最近「150.70.84.xx」からのアクセスが減ってきたことに気付きました。

ところがブログとカウンタの両ログを見たところIPアドレス「216.104.15.xx」からのアクセスが増えてきていました。現在確認できているのは「216.104.15.130」「216.104.15.134」「216.104.15.138」「216.104.15.142」です。これらのIPについてWhoisにかけてみると予感は的中、トレンドマイクロからのアクセスでした。

ブログのアクセスログで確認すると、もっとも古いのは4月17日に1件、その後は日によって違うものの数件~数十件のアクセス、24~26日はアクセスなし、27日以降再びアクセスが増え始めてきました。

アクセスのタイミングを見てみると、ウイルスバスターインストールユーザーからのアクセス後に同じページにアクセスしてくると思われるのがあれば、ユーザーに追従せず独自にページチェックしてくるのもあるようです。

どんな動作にせよ、またアクセス拒否の措置を取る必要が出てきてしまいました。面倒だなぁ

1日に150件程度しかないアクセスがどんなに貴重なものか。そこにトレンドマイクロサーバが不要なアクセスをしてつり上げるという行為がどんなに腹立たしいことか。トレンドマイクロさん、仕様を変更してもらえませんか?

ウイルスバスター2009をインストール

トレンドマイクロ社のセキュリティ対策ソフトの最新版「ウイルスバスター2009」をインストールしました。新機能として「キー入力暗号化」などが追加されたようですが、ちゃんとパソコンを守ってくれればそれでいいかと・・・

そんなことより私が気になっていたのが、URLフィルタを有効にしておくことでウェブの閲覧先のサーバに与える影響。同機能によりトレンドマイクロサーバが対象となるウェブにアクセス、それによりチャットや掲示板の書き込みが二重になったりアクセスカウンタが余分に回ることをブログに書いてきました。それらの現象が最新版でも見られるかを確認。ウイルスバスター2009をインストールしURLフィルタを有効にしたパソコンから当ブログを閲覧してみたところ、これまでと同じく150.70.84.xxからのアクセスがありました。

URLフィルタ機能を操作した時に表示されるダイアログ(クリックで拡大)
ウイルスバスター2009をインストール
文章冒頭から「~にのみ利用されます。」までは2008までと同じ。その後の「また、本機能を有効に~」は2009で付け加えられたもの。「コモンゲートウェイインターフェースを~(中略)ID、パスワードが含まれた状態で送信~」とあります。つまりCGIにアクセスしパラメーターにID・パスワードが含まれているとトレンドマイクロに送信されてしまうということがソフト上で明示されたのです。私ならこの文章を読んで、大事なパスワードが送信されてしまうことに不安を感じますね。当然CGIの掲示板やチャットなどではコメントも送信されてしまうので、書き込みが二重になってしまいます。

トレンドマイクロはこれからも同じ方法でユーザーを守り、同じ方法でサーバ管理者には迷惑をかけていくようでうね

IPアドレス 150.70.84.xx からのアクセス

ブログのアクセスログを確認していたところ、昨年末よりIPアドレス150.70.84.xx(xxは20番台の数値)からのアクセスが増えてきているのに気づきました。アクセスのタイミングをみてみると、当ブログで何度か取り上げてきた(その1その2その3)あの挙動とそっくり!一般プロバイダのホストからのアクセスがあると、それとほぼ同時に150.70.84.xxからのアクセスがあります。

怪しいと思いこのIPアドレスをWHOISで調べてみたところ・・・やはりトレンドマイクロ(以下TM)のものでした ウイルスバスターのURLフィルタに関係するものか断言できませんが、66.180.82.xxと128.241.20.xx以外の新しいサーバが登場したようです。ネットで検索してみると、TMサーバからのアクセスを一切拒否している管理者の方もいるようですが、新たに拒否設定する必要がありますね。

当ブログではカウンタスクリプトへのアクセスのみ拒否しています。TMサーバはページの読み込みと同時にCGIで動作しているカウンタスクリプトへもアクセスしてくるのですが、その都度不要なカウントアップが行われるのを防ぐためです。150.70.84.xxについてもアクセスを確認したので、66.180.82.xxと128.241.20.xx同様、サーバの.htaccessで拒否することにしました。

普通にアクセスしてくれた人だけをカウントしたいのに、トレンドマイクロはどこまで意地悪すれば気が済むんだぁ~