要約
GetSusp の最新バージョンはどこで入手できますか?
最新バージョンはこちらから入手することができます。
http://downloadcenter.mcafee.com/products/mcafee-avert/GetSusp/GetSusp.exe
GetSusp と他のアンチマルウェアではどのように異なりますか?
検知できないマルウェアに感染しているユーザが、感染したコンピュータをトラブルシュートするテクニカルなスキルがない場合があります。 そのような場合、多くのフリーのツールではユーザが自分自身でツールの出力結果を分析し、検体を特定してアンチウイルスのベンダーに送付しなければなりません。 McAfee GetSusp を利用すれば、テクニカルな知識がなくとも検知できないマルウェアの検体を収集することができます。
Online モードでのスキャンとOffline モードでのスキャンの違いはなんですか? 検体や私のマシンの情報を McAfee に送信しないようにすることはできますか?
Online スキャンでは Global Threat Intelligence (GTI) に接続し、端末で見つかったファイルと GTIのクリーンファイルデータベース(ホワイトリスト) との照合を行います。 スキャンを開始する前に表示されるソフトウェア利用許諾契約 (EULA) に記載がありますが、ファイルとコンピュータの情報は McAfee に送信されます。 検体を McAfee に送信したくない場合は、Offline モードで実行することができます。 ただし、Offline モードではホワイトリストデータベースとの照合が行われないため、スキャンの結果の精度が低下します。
GetSusp と GetClean はどのように異なりますか?
- McAfee GetSusp
GetSusp は検知できないマルウェアがコンピュータ上にあると疑われる場合に実行するツールです。 GetSusp は深いテクニカルな知識を必要とせず、コンピュータ上のマルウェアの可能性のあるファイルを収集します。 ファイルの収集は、ヒューリステック技術とMcAfee Global Threat Intelligence (GTI) のクリーンファイルデータベースとの照合により行われます。 GetSusp は疑わしいコンピュータを診断する際の最初につかわれるツールとして利用されることが推奨されています。 疑わしいファイルが見つかった場合は、McAfee のサポートプロセスに従ってお問い合わせください。
- McAfee GetClean
GetClean は誤認を低減させるための McAfee Labs の取り組みの一環です。 GetClean を企業内の標準環境イメージ (COE) で実行することにより、クリーンなファイルを McAfeeに送信します。 GetClean は GTI のファイルレピュテーション (Artemis) を利用して McAfeeが認識していないファイルのみを収集して送信します。 そのため、お客様が McAfeeに送信する必要のあるファイル数を削減することができます。 また、GetClean を利用すれば、お客様のマスターイメージにあるファイルがMcAfee Global Threat Intelligence (GTI) のホワイトリストに必ず登録されていることが保証されるため、 McAfee 製品のGlobal Threat Intelligence (Artemis) 設定を、「中」や 「非常に高」 などに変更することを検討することができます。
GetSusp でスキャンを行うとどのような情報が収集されますか?
GetSusp はコンピュータ名、IP アドレス, オペレーティングシステムやサービスパックのレベル、インストールされている McAfee 製品の情報を収集します。 ユーザのデータや個人情報は収集しません。検体を McAfee に送信したくない場合は、Offline モードで実行することができます。 ただし、Offline モードではホワイトリストデータベースとの照合が行われないため、スキャンの結果の精度が低下します。
GetSusp はどのようにして3分から5分でシステムスキャンを終了させているのですか ?
GetSusp ではハードディスクの容量に関わらず3分から5分でシステムのスキャンが終了します。 これはGetSusp のスキャンする範囲がマルウェアが利用する化可能性のあるファイル、レジストリ、実行中のプロセスに限られているからです。 従ってマルウェアが実際に稼働している環境やレジストリエントリでマルウェアが起動するようになっているような環境で実行する必要があります。
GetSusp が生成したzipファイルが5 MB より大きいため、 McAfee に送信できません
McAfee は現在5 MB までの zip ファイルに対応しています。 それよりも大きい zip ファイルの場合、McAfee サポートに連絡し、案内のあったFTPサイトにzip ファイルを送信して下さい。
GetSuspでの送信後、サポートが必要な場合は ?
Email アドレスを入力して実行すると、そのEmail アドレスに、ワークフローシステムが追跡目的で付与したWork ID が記載された受領確認メールが送信されます。McAfee サポートへお問い合わせする場合は、そのWork ID をご提示下さい。
GetSusp コマンドラインのパラメータをサポートしますか ?
はい、GetSusp を コマンドラインから --? または –Help オプションで起動してヘルプダイアログを表示して下さい。
| Switch |
Function |
| --SILENT |
サイレントスキャンを実行します。 |
| --OFFLINE |
Offline モードスキャンを実行します。 |
| --MD5 |
MD5のみ送信します。 |
| --EMAIL |
Email アドレスを指定します。 |
| --SR# |
SR番号を指定します。 |
| --COMMENT |
コメントを指定します。 |
| --ZIPPATH |
疑わしいファイルを保存するパスを指定します。 |
| --PROXY |
プロキシのアドレスとポートを指定します。 |
例
Getsusp.exe --silent --email=john_doe@mcafee.com --zippath="C:\GetSusp"
ファイルに感染するような W32/Sality やW32/Virut などに感染したマシンで実行し、GetSusp 自身が感染する可能性がある場合はどうすればよいですか?
その場合、GetSusp は期待通り実行できずに次のメッセージを表示します:
GetSusp maybe infected, cannot continue
GetSusp.exe はデジタル署名されており、起動時に整合性の確認は行っていません。 GetSusp を感染マシンで実行するためには、 “getsusp.exe --nc” スイッチで実行する必要があります. この隠しスイッチは整合性チェックを無効にします。
重要:
- GetSusp は実行形式のファイルのみ特定できます。 ドキュメント、スクリプト、メディアファイルなど、その他のファイルフォーマットはサポートしていません。
- マルウェアを特定するためには、そのマルウェアが実際に実行されているか、マルウェアのエントリがレジストリに登録されている必要があります。
- GetSusp が最も有効に動作するためにはインターネットへの接続が必要です。 GTI のクリーンファイルデータベースに接続するために、外向きのUDPポート53番及びTCPポート80番が開いている必要があります。
- McAfee Labs に送信される疑わしいファイルをアーカイブした zip ファイルは5 MB 以下である必要があります。
- ルートキットのスキャンは現時点ではサポートされていません。次のGetSusp のリリースでサポートする予定です。
関連情報
PD22668 - GetSusp Product Guide
PD23191 - GetClean Product Guide
AR11093006 - McAfee Labs に送付する検体の特定に利用するツール
McAfee Labs ウイルス解析依頼
AR11093003 - サービスポータルまたはプラチナポータルから McAfee Labs に検体を送付する方法
掲載日 2011/09/30
