要約
この文書では悪意のある可能性のあるファイルを特定するために利用する各種ツールについて記載しています。
注意: : 下記に記載のあるサードバーティ製のプログラムについての詳細を記載することはできません。 詳細についてはそのプログラムのヘルプファイルなどを参照して下さい。
問題
McAfee の アンチウイルス製品では感染が検知できない場合があります。
下記のような症状が認められます:
- CPUの利用率が高くなり、不明なプログラムが実行されている。
- ネットワークのトラフィックの増加や通信速度が低下する。
- 新しいサービスが追加され、従来のサービスが削除される。
- ファイル共有などのネットワークリソースへのアクセスができなくなる。
- アプリケーションが動作しなくなり、ファイルにアクセスできなくなる。
- 不明なレジストリキーが追加されている。
- インターネットエクスプローラーのホームページが許可なく変更される。
注意: : マルウェアや脅威についてはさまざまなバリエーションがあるため、全ての感染活動の全ての特徴を列挙することはできません。 上記のような症状がない場合でも、感染が疑われる場合は全ての予防措置を取ることをお勧めします。 DATファイルを最新にし、オンデマンドスキャンを実行するかコマンドラインスキャナでシステムをスキャンして下さい。 感染を取り除くことができない場合、下記の手順にて疑わしいファイルを探し、検体として McAfee Labs に送信して下さい。
原因
新しいウイルスが日々発見され、ヒューリスティックスキャンで新しいマルウェアを検知する能力は向上していますが、ウイルスの作者が検知を避けるために使うテクノロジが変化し続けています。
コンピュータはさまざまな方法で感染します。 下記のような例が挙げられます。
- 信頼できないウェブサイトからファイルやドライバをダウンロードする
- フロッピーやUSBデバイスからファイルをコピーする
- 不明な疑わしい送信元からのメールを開く
セクション A− テクニカル サポートに連絡する前の基本的なチェック
最新のDAT およびエンジンがインストールされていることを確認
最新の DATは、以下の Web サイトからダウンロードできます。
- 次のリンクをクリックして Web サイトに移動します:
http://www.mcafee.com/japan/downloads/
- [ウイルス対策]項目の、[ウイルス定義ファイル/エンジン(SuperDAT)ダウンロード]をクリックします。
- 同意事項に同意します。
- DATs タブを選択します。
- 言語を選択し、####xdat.exe をクリックします。#### は DAT のバージョンです。
- ファイルをハード ディスクに保存します。
- 最新の DAT およびエンジンで最新の状態にするマシン上でこの実行ファイルを実行します。
最新の DAT およびエンジンの両方をインストールする場合は、 Super DAT をダウンロードして実行します。
- 上記のWeb サイトで、[ウイルス対策]項目の、[ウイルス定義ファイル/エンジン(SuperDAT)ダウンロード]をクリックします。
- 同意事項に同意します。
- SuperDATs タブを選択します。
- 言語を選択し、sdat####.exeをクリックします。 #### は DAT のバージョンです。
- ファイルをハードディスクに保存します。
- 最新の DAT およびエンジンで最新の状態にするマシン上でこの実行ファイルを実行します。
最新の McAfee 製品の Patchがインストールされていることを確認
最新の製品パッチがインストールされていることを確認します。
場合によっては、ウイルスを削除するために製品パッチ、DAT およびエンジンを組み合わせてアップデートする必要があります。
インストールされている McAfee製品の Patchを確認する方法は、製品により異なりますが、主な方法は次のいずれかです。
- Windows システム トレイの McAfee アイコンを右クリックして、[バージョン情報…] を選択します。
- 製品コンソールを開いて [Help (ヘルプ)]、[About (バージョン情報)] の順に選択します。
下記のサイトにて製品の最新の Patch の確認できます。
マカフィー製品がサポートしている環境一覧(マスターリスト) (日本)
http://www.mcafee.com/japan/pqa/kb_list.asp
Supported environments for McAfee products (Master Article) (米国)
https://kc.mcafee.com/corporate/index?page=content&id=KB51109
最新のMcAfee製品及び、Patch や ドキュメントは下記ドサイトからダウンロード可能です。
http://www.mcafee.com/japan/licensed2/ (日本)
http://www.mcafee.com/us/downloads/ (米国)
Microsoft セキュリティ パッチが適用されていることを確認
セキュリティの脆弱性が利用されることを防ぐには、最新の Microsoft セキュリティ パッチをインストールしている必要があります。
オンアクセスおよびオンデマンド スキャンで次の項目が検出されるように構成されていることを確認
- スパイウェア
- 潜在的に不要なプログラム (PUP) ファイル
- ヒューリスティックが有効
- バッファ オーバーフロー保護 (BOP) が有効
- Global Threat Intelligence (GTI) が有効
注意: 上記のオプションの一部は VirusScan Enterprise でのみ使用できます。
すべてのスキャン設定を有効にしてオンデマンド スキャンを実行
プライマリ アクションを [Clean] に設定し、すべてのファイルにオンデマンド スキャンを実行します。
これを構成する手順については、製品ガイドを参照してください。
何も検出されない場合、ベータ DAT を使用してオンデマンドスキャンを実行
ベータ DAT を使用することで、以前には検出されなかった感染ファイルを識別できます。
セクション B− GetSusp の実行
McAfee GetSusp を利用すれば、テクニカルな知識がなくとも、McAfee 製品で検知できないマルウェアのファイルを検体として収集することができます。
- 最新バージョンを下記より入手します。
http://downloadcenter.mcafee.com/products/mcafee-avert/GetSusp/GetSusp.exe
- GetSusp.exe を実行します。
- Preferences をクリックして、Online モードまたは Offline モードを選択します。 Online モードを利用するためには、Global Threat Intelligence (GTI) が利用できる必要があります。 GTIの動作確認方法については下記を参照下さい。
AR09052801 – Artemis の動作確認方法
VE08122501 – 社内DNS環境下でのArtemisテクノロジの運用について
- E-mail アドレスを入力して McAfee Labs からの受領通知を受け取る設定を行います。Online モードの場合、 疑わしいファイルは自動的に McAfee Labs に送信されます。
- Scan をクリックして、スキャンを開始します。 ソフトウェアライセンス許諾を承認します。
- 一般的に GetSusp のスキャンは 3-5 分程度かかります。 スキャン終了後、レポートが表示されます。
- gsusp_XXXXXX_XXXXXX.zip ファイルが作成されます。 Offline モードの場合や zip ファイルが 5MB 以上の場合は McAfee Labs に自動的に送信されないため、zip ファイルを手動で McAfee Labs に送信する必要があります。
GetSuspの詳細については下記をご参照ください。
AR11093005 - GetSusp FAQ
PD22668 - GetSusp Product Guide
セクション C− 疑わしいファイルを手動で検索する場所
一般的に、ウイルスはレジストリの一部にエントリを追加して、システム起動時にウイルス プログラムを起動するようにします。 不審と思われるファイルおよびフォルダ名の検索場所は次のとおりです。 手動で疑わしいファイルを検索する場合は、下記を参照します。
MsConfig (システム構成)
- [スタート] – [ファイル名を指定して実行] にて msconfig と入力して実行します。
- スタートアップタブを選択します。
- win.ini 及び system.ini のエントリを確認できます。
スタートアップグループ
- \documents and settings\all users\Start Menu\Programs\Startup
- \winnt\profiles\all users\Start Manu\Programs\Startup
レジストリの場所
一般的に、ウイルスはレジストリの一部にエントリを追加して、システム起動時にウイルス プログラムを起動するようにします。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows T\CurrentVersion\Windows\AppINit_DLL
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\[SID]\Software\Microsoft\Windows\CurrentVersion\Run
Malware specific:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools
HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlongon
ウイルスによく利用されるディレクトリ
C:\
C:\%windir%\
C:\%windir%\system32\
C:\%windir%\system32\drivers
C:\%windir%\system32\dllcache
%TEMP%
%ALLUSERSPROFILE%\Start Menu\Programs\Startup
%userprofile%\local settings\temp
%userprofile%\application data
%userprofile%\local settings\application data
C:\Program Files\
C:\temp
C:\Recycler
C:\Documents and Settings
Windows スケジューラ
スケジュールされたタスク、およびコマンド プロンプトで AT コマンドを使用したタスクでエントリを確認します。
構成ファイル
In.ini 内 (プログラムを実行またはロードする行)
Autoexec.bat
Config.sys
セクション C− ツールを利用して疑わしいファイルを特定する方法
いくつかのユーティリティは検体の調査に有効です。 ツールを利用して疑わしいファイルを検索するには下記をご参照ください。
AR11093006 – McAfee Labs に送付する検体の特定に利用するツール
セクション D− テクニカルサポートに送信する情報
疑わしいファイルの収集
疑わしいファイルを特定できた場合、McAfee Labs まで検体を送付下さい。 全てのファイルはパスワード付 .zip ファイルに圧縮されている必要があります。 パスワードは “infected” (小文字) にします。 パスワード付 .zip ファイルの作成方法については下記のURL に記載があります。
MER ツールを実行し、McAfee 製品の情報を収集
Minimum Escalation Requirements (MER) ツールを実行して、McAfee 製品の情報を収集下さい。 MERについては、下記より入手が可能です。 実行後に作成される、.tgz ファイルをテクニカルサポートに送信下さい。
http://mer.mcafee.com
McAfee Labs への検体の送信
収集した検体は McAfee Labs へ送付下さい。 検体を McAfee Labs へ送信する方法については下記をご参照下さい。
マカフィーテクニカルサポートへのお問い合わせ
テクニカルサポートにお問い合わせされる場合は、MERツールの実行結果と共に、McAfee Labs から通知された Analysis ID または Work ID を提示下さい。 検体を特定できない場合も、マカフィーテクニカルサポートまでお問い合わせください。
関連情報
検体の送付に関する情報
KB70157- Tools you can use to locate samples for submission to McAfee Labs
KB50388 - How to submit a virus sample to McAfee (when virus is not detected)
KB67411 - How to submit a possible false or incorrectly classified sample file to McAfee Labs
KB68030 - How to submit samples to McAfee Labs through the McAfee ServicePortal or Platinum Portal
KB66642 - How to submit your company software or images to McAfee Labs to be considered for validation against McAfee DAT files, to avoid false positives
DAT ファイル
KB68061 - How to combine or concatenate multiple extra.DAT files through the McAfee ServicePortal or Platinum Portal
KB54996 - An EXTRA.DAT detects a virus but does not clean or repair the files
KB59164 - How to perform a forced installation of a SuperDAT file
コマンドラインスキャン
KB51141 - How to perform a command-line scan in Microsoft Windows
KB52229 - VirusScan Command Line Scanner 6.0.3 switches
EICAR
KB52865 - How to create a standard EICAR antivirus test file for use with McAfee AntiVirus products
SiteAdvisor
KB53371 - SiteAdvisor Enterprise Site Rating dispute resolution process
KB53423 - SiteAdvisor Site Rating escalation process
Global Threat Intelligence (Artemis)
KB53733 - How to verify that Global Threat Intelligence is installed correctly
掲載日 2011/09/30
