マカフィー

サポートＱ＆Ａ

サポートQ&Aトップへ

前のページへ戻る

質問一覧へ戻る

パッカー（Packer）検出の仕組みについて

製品 Email and Web Security Appliance v5.5/5.6 Version 5.5, 5.6
OS - 問題番号 EW512120603

問題の詳細

パッカーとは、実行ファイルを実行できる形式のまま圧縮（暗号化）するツールで、UPX、FSG、tElockなど様々なものがあります。
パッカーの基本的動作原理はほとんど同じで、「ターゲットとなる実行ファイルを圧縮（+暗号化）して、プログラムの先頭に展開（+復号化）のルーチンを付加する」ものです。
この仕組みで、プログラムが実行されたら最初に展開ルーチンが実行され、本来の実行ファイルのデータをメモリ上に復元してプログラムが処理されます。
つまり、パッカーそのものはウイルスではありませんが、使い方によって、ウイルスに利用されうるものであるため、弊社のスキャンエンジンによって検知できるように設計されています。
そのためウイルスではないファイルであっても、パッカーを利用してファイルを圧縮しているファイルについてはパッカー検出を有効にしている場合検知されます。
これは正常な動作となりますのでご注意下さい。

解決策

パッカーに関する検出設定はデフォルトでは無効です。メール、Webそれぞれに対してパッカー検出を有効にすることができます。

電子メールポリシー - スキャンポリシー – ウイルス対策 – デフォルトのウイルス対策設定（SMTP） - パッカー

パッカー検出 - 検出を有効にする にチェックを入れます。
指定された名前除外する　あるいは　指定された名前のみを含める を選択し、テキストエリアに除外、あるいは検知したいパッカーの名称を入力します。

WEBポリシー - スキャンポリシー – ウイルス対策 - デフォルトのウイルス対策設定（HTTP） - パッカー