案件名                                           2003/04/05 配信
    −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
    遠隔操作されているか知りたい
    −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
    患者名　ハンドルなし　担当医　 Babylon 先生　 じぇの 先生
    −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−

    ●患者問診より●

    ウチの職場のネットワーク管理者が断りもなしにmite（クライアントの
    端末の画面を覗いたり、リモート操作できる奴）をインストールしてい
    ったようなのです。（まあ、普通は断りませんよね）

    こいつは私の友達だったので、友情を裏切られたようでかなり頭にきま
    した。そういうわけでちょとソイツに「おしおき」してやりたいのです
    が、画面を覗かれたときに自分の端末で感知ができ、さらに相手に警告
    のメッセージとかを表示させたりできるツールは無いものでしょうか。

    よろしくお願いいたします。



    ●担当医所見●　 Babylon  先生


    >ウチの職場のネットワーク管理者が断りもなしにmite（クライアントの
    >端末の画面を覗いたり、リモート操作できる奴）をインストールし
    >ていったようなのです。（まあ、普通は断りませんよね）


    ふつうは、そんな怪しいツールなんて、断りますって。
    miteはbackdoorツールです。

    確認方法ですが、プログラム→アクセサリ→コマンドプロンプトを開い
    て以下のコマンドを実行します。

    telnet localhost 61000

    接続中:
    localhost...ホストへ接続できませんでした
    ポート番号 61000 : 接続に失敗しました

    とでれば、miteはインストールされていませんが、真っ黒になって、何
    かのサービスに接続しているっぽかったら、miteが入っている可能性が
    あります。

    ほかには、「netstat -a｣とcommandをうつと、

    C:\>netstat -a

    Active Connections

    Proto Local Address Foreign Address State
    TCP gekigeki:epmap ggekigeki:0 LISTENING
    TCP gekigeki:microsoft-ds ggekigeki:0 LISTENING
    TCP gekigeki:1025 ggekigeki:0 LISTENING
    TCP gekigeki:1026 ggekigeki:0 LISTENING
    TCP gekigeki:1286 ggekigeki:0 LISTENING
    TCP gekigeki:1537 ggekigeki:0 LISTENING
    TCP gekigeki:1584 ggekigeki:0 LISTENING
    TCP gekigeki:5679 ggekigeki:0 LISTENING
    TCP gekigeki:61000 ggekigeki:0 LISTENING

    と出てるとやばいっすね。
    ちなみに、なんでmiteなんてインストールされていったのでしょう。
    社長命令ですか？


    >こいつは私の友達だったので、友情を裏切られたようでかなり頭にきま
    >した。そういうわけでちょとソイツに「おしおき」してやりたいのです
    >が、画面を覗かれたときに自分の端末で感知ができ、さらに相手に警告
    >のメッセージとかを表示させたりできるツールは無いものでしょうか。


    一番利くのは、｢奴は他人のPCを覗き見しているようだ｣という噂をこっ
    そり流すことだと思います。
    思いのほか効きますよ。特に女の子の間で広がったら致命的でしょう。

    検知ですが、ZoneAlarmなどのパーソナルファイアウォールをインストー
    ルしておけば、外部から接続できなくなるし、接続しようとしてきたら
    一発で分かりますね。

    ZoneAlarmと日本語化ツール 

     http://www.forest.impress.co.jp/library/zonealarm.html
     http://www.forest.impress.co.jp/library/zonealarm_nihongoka.html

    ただ、そもそも、ネットワーク管理者が、ウィルスもどきのトロイの木
    馬なんか、他の従業員のPCにインストールなんてしているという話だと
    普通、そんなネットワーク管理者、首だと思いますけどね。
    社長もグルだと、自分の首が飛ぶ可能性が高くなりますが。。。
    自分の勤務状況に、思い当たる人であれば。。。


    >相手に警告
    >のメッセージとかを表示させたりできるツールは無いものでしょうか。


    普通にWindows2000、XPなら、以下のコマンドで、相手にメッセージが届
    きます。

    C:\>net send 相手のIPアドレス "おまえはすでに死んでいる"

    余談ですが、WinMXの交換相手にこれをやると相手は相当びびります。
    私はやりませんが。。。 



    ●担当医所見●     じぇの  先生


    >ウチの職場のネットワーク管理者が断りもなしにmite（クライアントの
    >端末の画面を覗いたり、リモート操作できる奴）をインストールしてい
    >ったようなのです。（まあ、普通は断りませんよね）


    miteってGoogleでちょっと調べてみたんですが、これですか。

    ・Backdoor.Mite
     http://www.symantec.com/region/jp/sarcj/data/b/backdoor.mite.html
    （間違いだったらすいません。スクリーンショットみるっつーから違う
   　のかな？）

    ここで「普通は断りませんよね」ってのがすごくおかしいかと・・・。
    会社の電話に盗聴器つけられたりされるのと同じような。無料だからっ
    て誰が作ったかわからないトロイで社員管理するSEってひじょ〜にやば
    いと思います。

    お金かかっても外部の会社に委託した方がいいのでは。
    何かあったときの保険だと思って。
    仮にネットワーク管理者が突然退社したり、死んだりしたらどーするつ
    もりでしょ。


    >こいつは私の友達だったので、友情を裏切られたようでかなり頭にきま
    >した。そういうわけでちょとソイツに「おしおき」してやりたいのです
    >が、画面を覗かれたときに自分の端末で感知ができ、さらに相手に警告
    >のメッセージとかを表示させたりできるツールは無いものでしょうか。


    メッセージを送るのはBabylon先生が書いたので別の方法を。

    週末前か連休前にPCから「絶対に必要なデータ」だけをバックアップし
    たあとにPCを起動できないようにWindowsを壊しちゃう。
    それで「○○さんがmiteを入れた後によくフリーズするようになった」
    とか話を振ってウイルスアラートを上司に見せる。

    例）
     http://www.symantec.com/region/jp/sarcj/data/b/backdoor.mite.html

    で、連休中に管理者に責任をもって復旧させるのが良いかと。
    もしそれでも再インストールするめげない管理者ならトロイが作成する
    ファイルをダミーで上書き禁止で作っておけば防げるかも（miteもって
    ないんで未確認です。）

    C:\Windows\System\Setup.exe
    C:\Windows\System\Dosprmt.exe
    C:\Windows\System\Ttwain.dll