【Diary】長い社会復帰への道程

◎とりあえずBlogが更新できるところまでは何とか環境復活…しかしここに至るまでは長く苦悩の道程であった。

◎前回Blogを脱稿後、早速OSをリストア→製品添付デバイスドライバ投入→製品添付ノートン先生（2002）インストール、という流れで作業をしたら、ノートン先生インストール後のリブート→LiveUpdate後、「あと1分でOS落とすぞｺﾞﾙｧ」と言う見たこともないようなダイアログを頻発するようになり、3回程OSからクリーンインストールを試みても同じ症状が連続。はっきり言ってこんなのは経験がなかった。

◎製品のハードウェア的な故障を疑いDELLサポートに電話するものの、サポート側の回答は的を得ない。
以下、サポートの回答と私の反論。
「ノートンとの相性問題では?」→信頼性テストも実施できていない製品をプリインストールで添付してると言いたいのか?
「ノートンの有効期限が切れている」→ウィルス定義自体はちゃんとLiveUpdateで落とせてるのに有効期限切れか?
「ノートンのプログラムがシステム日付を参照していて有効期限切れの可能性」→追記不能なCDにそんな情報どうやって書くんだ?
結局、修理が有償になってしまうとの理由で「まずはノートンに電話してくれ」という曖昧な回答。

◎と、ここで押入れに目をやると正規品ノートン先生2003。 そういや最初の更新の時に正規品買ったんだっけ。
祈るような気持ちでクリーンインストールを行ったところ、LiveUpdate直後に一度シェルが落ちたもののその後は正常動作。
通算6回目にしてやっとOSインストール成功。 Logicのインストールも無事成功、その後のアプリインストール/ドライバインストールにもさしたる異常は発生せず、今に至るわけだ。

◎しかしそのインストール作業の途中で、クリーンインストールに幾度となく失敗した理由が判明した。
実は、最後のクリーンインストールの直後、ウィルススキャンをかけると「クリーンインストール直後にも拘らず」産み落とされたワームが3件も発見されたが、ワームの本体が見当たらない。
ワームの説明を読むと、Kazaa/IRC等を経由して拡散し、乱数発生でIPを割り出し、特定のポートからワームをほかに拡散するタイプだ。
そしてそのポートは…Windows Messengerで使用するTCPポートなのだ。

◎Windows MessengerのTCPポートは、ファイル転送の関係でルータのポートを手動で開いていた。
ここにつけ入れられ、LiveUpdate実行直前にインターネット接続用にＬＡＮポートを開いた瞬間、ワームが流れ込んでウィルス感染していたわけだ。
ノートン先生を2003にしたらインストールがうまく行ったのは「たまたまタイミングが良かった」だけだったようなのだ。
ルータの接続ログを確認すると、DoSパケットログにはこの3日間程大量のパケットを受けている記録があった。

◎現在はポートも閉じ、NASも含めたフルシステムスキャンが完了しているので一安心ではあるが、
1歩間違えればNASからの情報流出もありえた状況だったわけで、やはりルータのポートは安易に空けるものではない、と言う
よい教訓になった。

◎そして今、どういうわけだかワークグループへの接続ができない状態だが、これは全ノードの設定が一度書き換えられるのを待たねばならなさそうなので、本格的な社会復帰はもう少し時間がかかりそうだ。
（NASと直接接続できないと、バックアップファイルを元に戻せない…）