ポート(Port)ってなに?
ポートは、サービス・アプリケーションごとに用いられる、窓やドアのようなものです。
たとえばいま、このTef-RoomをInternet Explorerで見ているとき、サーバー側(www.tef-room.net)は80、クライアント側(あなたのパソコン)は1024以降のポートが用いられます。
このポートの間で情報をやりとりして、あなたの目の前にTef-Roomが表示されます
ここで書かれている[トロイのデフォルトポート]とは、トロイに感染しているときに、あなた側のポートとして開かれているケースが多いポートの番号のことです。
ポートについての詳しい解説は、ほかのページをみてくださいね♪
便利なコマンド - Netstat -an、そしてポート(Port)って何?(Tef-Room)
たとえばいま、このTef-RoomをInternet Explorerで見ているとき、サーバー側(www.tef-room.net)は80、クライアント側(あなたのパソコン)は1024以降のポートが用いられます。
このポートの間で情報をやりとりして、あなたの目の前にTef-Roomが表示されます
ここで書かれている[トロイのデフォルトポート]とは、トロイに感染しているときに、あなた側のポートとして開かれているケースが多いポートの番号のことです。
ポートについての詳しい解説は、ほかのページをみてくださいね♪
便利なコマンド - Netstat -an、そしてポート(Port)って何?(Tef-Room)
トロイ(Trojan)についての簡単な解説
NetBusを例にして解説します。NetBusは有名なトロイなので、アンチウイルスソフトでも検出できます。相手に感染させて、感染パソコンを操作するためのものです。
デフォルトポートは12345(TCP)です。これは感染したパソコンが、相手の指示を待つために開くポートの番号です。
もちろん、この12345以外のポートを指定してクライアントプログラムを作ることもできるでしょう。
でも特定の相手を選んで感染させたならともかく、世界中のどこかに散在する被害者を探すときには、(被害者の数が多いので)デフォルトポートの12345をトロイポートスキャンすることになります。
このとき、不特定多数のIPアドレスを範囲指定して、まとめてポートスキャンをするのでしょう。
デフォルトポートは12345(TCP)です。これは感染したパソコンが、相手の指示を待つために開くポートの番号です。
もちろん、この12345以外のポートを指定してクライアントプログラムを作ることもできるでしょう。
でも特定の相手を選んで感染させたならともかく、世界中のどこかに散在する被害者を探すときには、(被害者の数が多いので)デフォルトポートの12345をトロイポートスキャンすることになります。
このとき、不特定多数のIPアドレスを範囲指定して、まとめてポートスキャンをするのでしょう。
警告について
もしあなたが犯人としますね。
そしてトロイのクライアントプログラム(相手を操作するためのプログラム)を持っていて、被害者を探しているとします。
このときある特定のIPアドレスではなく、一定の範囲のIPアドレスを狙うことになるでしょう(もし相手が固定IPアドレスを持っていて、それが既知なら別ですけど)。そして数百・数千・数万のIPアドレスにトロイポートスキャンを行い、どこかにガードの甘い被害者が居ないか探すのでしょう。これを[スイープ]と呼びます。これは通りすがりで、大抵は特定の個人を狙ったものではないのです。
そしてポートスキャンを受けたパソコンは、どうなるのでしょう?
[一部のパーソナルファイアーウォール]は、有名なトロイのデフォルトポート(よく使われるポート)にポートスキャンが来たとき、トロイの名称が書かれた警告画面が出てきます。
それが本当にそのトロイのクライアントプログラム、つまり感染中の相手を操作するアプリケーションからスキャンされたのかどうかを問わず(ちゃんと確かめもせずに)、「Sub 7 port scan!」のような警告を出してしまいます。
あなたが感染していなかったとしても!(もちろん感染していても)、Sub 7やBackOrificeなどどれでもお好きなトロイの名称が、警告としてパーソナルファイアーウォールに表示されるでしょう。
もしどこかにトロイが勝手にデータを送信する場合は、アウトバウンド(つまり、あなたのパソコンからインターネットへ向けてのコネクション)の警告になります(もちろんトロイポートスキャンが来るまでずーっと待機しているトロイもありでしょう。)。
それに対して、単なるトロイポートスキャンなどは、インバウンド(インターネット側からあなたのパソコンに向けて)の警告になります。この場合は何も心配はありません。
はっきり断言しますけど、「元々トロイに感染していなければ心配ありません」。
「XXX.X.XX.XのIPアドレスの人が、私にトロイを感染させようとした!」なんて心配しないで下さい。IPアドレスだけわかっていたとしても、誰かに外部から[何か]を感染させるのはそれ相応のテクニックが必要で、難しいのですから(そしてそれらの試みは大抵、失敗に終わります)。
警告表示が出るのは、ちゃんとブロックしている証拠です。気になるならアンチウイルスソフトでスキャンしてください、有名なトロイは検出できるでしょう。
そしてトロイのクライアントプログラム(相手を操作するためのプログラム)を持っていて、被害者を探しているとします。
このときある特定のIPアドレスではなく、一定の範囲のIPアドレスを狙うことになるでしょう(もし相手が固定IPアドレスを持っていて、それが既知なら別ですけど)。そして数百・数千・数万のIPアドレスにトロイポートスキャンを行い、どこかにガードの甘い被害者が居ないか探すのでしょう。これを[スイープ]と呼びます。これは通りすがりで、大抵は特定の個人を狙ったものではないのです。
そしてポートスキャンを受けたパソコンは、どうなるのでしょう?
[一部のパーソナルファイアーウォール]は、有名なトロイのデフォルトポート(よく使われるポート)にポートスキャンが来たとき、トロイの名称が書かれた警告画面が出てきます。
それが本当にそのトロイのクライアントプログラム、つまり感染中の相手を操作するアプリケーションからスキャンされたのかどうかを問わず(ちゃんと確かめもせずに)、「Sub 7 port scan!」のような警告を出してしまいます。
あなたが感染していなかったとしても!(もちろん感染していても)、Sub 7やBackOrificeなどどれでもお好きなトロイの名称が、警告としてパーソナルファイアーウォールに表示されるでしょう。
インバウンド・アウトバウンド
もちろん、本当にトロイに感染している人もいるかもしれません。もしどこかにトロイが勝手にデータを送信する場合は、アウトバウンド(つまり、あなたのパソコンからインターネットへ向けてのコネクション)の警告になります(もちろんトロイポートスキャンが来るまでずーっと待機しているトロイもありでしょう。)。
それに対して、単なるトロイポートスキャンなどは、インバウンド(インターネット側からあなたのパソコンに向けて)の警告になります。この場合は何も心配はありません。
最後に
パーソナルファイアーウォールの利用者で、このような警告が表示されて心配している人も多いかと思います。はっきり断言しますけど、「元々トロイに感染していなければ心配ありません」。
「XXX.X.XX.XのIPアドレスの人が、私にトロイを感染させようとした!」なんて心配しないで下さい。IPアドレスだけわかっていたとしても、誰かに外部から[何か]を感染させるのはそれ相応のテクニックが必要で、難しいのですから(そしてそれらの試みは大抵、失敗に終わります)。
警告表示が出るのは、ちゃんとブロックしている証拠です。気になるならアンチウイルスソフトでスキャンしてください、有名なトロイは検出できるでしょう。