ウイルス感染の簡易手動チェックのすすめ

by
01946 PV約 6 分

ウイルス感染の簡易手動チェックのすすめ
ITpro:2012/10/02配信

<今週のSecurity Check(第225回)>

特に変わったこともしていないのに、Windowsパソコン(PC)の動作が突然遅くなった場合、「ウイルスに感染しているかもしれない」、という疑があるらしい。

ユーザーによっては「もう古いPCだから仕方ない」などと受け入れてしまうことがあるかもしれないが、いくら古いPCだといっても、故障がないのに突如として性能が落ちるのは、何かおかしいと思うようにしたい。

ウイルス対策ソフトが導入済みで、ウイルス定義ファイルも最新のものが適用されている状態にもかかわらず、ウイルスを検知できないことがあるらしい。

昨今のウイルスの爆発的な増加に、ウイルス定義ファイルの更新が追いつかず、3ヶ月前のものでも対策が実装されていない状態になっていると想定される。

ウイルス対策ソフトだけに頼った対策だけでは、気付かないうちにヤラレている、などということもあり得る、となるともはや「成す術なし」、お手上げ状態で指をくわえて見ているしかないのであろうか。

ここでは、簡易チェックではあるが検出率は案外高いので、覚えておくと便利な方法として、「Windows XPの標準機能を使ったウイルス感染有無の手動でチェック」が紹介されている。

具体的な作業としては、Windows XPの標準ツールである「システム情報」を使用して、
A)起動プロセスのパス
B)起動プロセスのファイル日付
の2つを見て、実行中のプロセスや自動実行プロセスに異常なものがないかどうかを調べる、というものである。

詳しい手順は、リンク先を参照してもらうとして、やはり他人(ソフト)任せではなく、最後に頼れるのは、経験とスキルに裏打ちされた自分自身の感性、いうことになるのだろう。

■実行中のプロセスの確認
 Windows XPのタスクマネージャではプロセス名や実行ユーザー名などの情報は分かるが、パス情報が表示できないなど十分な情報を得ることができない。そこでプロセスの詳細情報を得るために、標準ツールである「システム情報」を使用する。「システム情報」は、「プログラム」メニューの「アクセサリ」「システムツール」から起動できる。

 システム情報を起動後、左ペインの「ソフトウェア環境」「実行中のタスク」を選択することで実行中のプロセスの情報を(タスクマネージャ)より詳細に確認できる。
 まず最初に、「A」起動プロセスのパスに注意する」ためにパス名で並べ替える。C:WindowsやC:Program Filesのパスに含まれたファイルの多くは、正規に導入したソフトウエアのファイルであることが多い。このパスの中にもウイルスが含まれることは少なくないが、簡易手動チェックではこれら以外のパスを探す。特に注意すべきなのが、C:Document and Settings(Windows7では、C:Users)である。今回、当該PCでは二つのプロセスがC:Document and Settingsのパスで起動していた。

次に、「B」起動プロセスのファイル日付に注意する」ために、ファイル日付で並べ替える。ウイルスによっては複製時に日付を古いものに偽るものがあるが、簡易手動チェックでは新しいファイル日付から異常なものがないかどうかを探す。次の図では、2012年8月の日付のものが発見されているのが分かる。

なおWindows7では、タスクマネージャから、実行中ファイルのパス名や起動パラメーターを表示させることができる。「システム情報」は、Windows7においても標準ツールとして提供されており、上記の調査が可能である。

■自動実行プロセスの確認
 次に、自動実行プロセスがないかどうか確認する。WindowXP/7どちらでも標準ツールである「システム構成ユーティリティ」を使う。システム構成ユーティリティは、ファイル名を指定して実行からmsconfig.exeと入力して起動する。

 システム構成ユーティリティで確認できる自動実行プロセスは、サービスおよびスタートアップである。簡易手動チェックでは、スタートアップタブの内容を確認する。

 注意すべき観点は、「?実行中のプロセスの確認」と同様に、起動パスの確認である。今回は二つの起動プロセスがC:Document and Settingsのパスで起動していることが分かります。実行中のプロセスの確認と同様のチェックだが、自動実行プロセスの確認では、起動直後のみ活動するタイプのウイルスも確認できる。

■ウイルスかどうかの確認
 ウイルスかどうかの確認の判断には、外部サイトを利用する。ここではVirusTotalのサイトを利用する。ブラウザーからVirusTotalのサイトにアクセスし、ウイルス候補となった怪しいファイルを送信して、分析を実施する。

 下図は発見したファイルの一つの分析結果である。ウイルス対策ソフト43製品中35製品がウイルスとして検知していることがわかる。

 また昨今のウイルスには、自身の複製時にファイル名を自動生成し、発見しにくくする仕組みを持つものがある。これを利用してGoogle検索し、その結果を判断の情報に加えてもよい。ここで見つけたウイルスについては、検索結果はゼロだった。

 簡易手動チェックにより、該当のPCでは少なくとも4種類のウイルスに感染していたことが分かった。該当ファイルを削除し、自動起動設定を削除したところ、動作速度も改善された。

ウイルス感染のマルチレイヤー視点での検知

 今回のウイルス感染被害にあったPCは、ウイルス対策ソフトは導入済みで、ウイルス定義ファイルも最新のものが適用されていた。このような状態にもかかわらず、ウイルスを検知できなかった。

 VirusTotalの結果を再度確認してみよう。該当ファイルが初めてVirusTotalで分析されたのは、2012年6月と3ヶ月以上前である。しかし、これを検知できたウイルス対策ソフト製品は43製品中35製品。検知できなかった8製品の中には、ウイルス対策ソフトで有名な製品も入っている。

恐らく、昨今のウイルスの爆発的な増加に、ウイルス定義ファイルの更新が追いつかず、3ヶ月前のものでも対策が実装されていない状態になっていると想定される。もちろんウイルス対策ソフトベンダーによって対策の抜け漏れにもバラツキはある。が、いずれにせよ、ウイルス対策ソフトだけに頼った対策では、同じような被害を受ける可能性は少なくない。

 ウイルス感染の異常を検知するには、PCへのウイルス対策ソフトの導入に加え、他社製のウイルス対策ゲートウエイによるチェック、ファイアウォールやIDS(侵入検知システム)でのC&Cサーバーへの通信検知、といったマルチレイヤーでの対応が必要となってくる。このようなマルチレイヤーの対策がとられておらず、動作が遅く怪しい挙動を示すPCがある場合には、ウイルス感染の簡易手動チェックを実施してみることをお勧めする。

Pマーク取得セミナーを開催します
 

Pマークは難しいと誤解していませんか?

Pマークの取得を検討している方の多くが、Pマークについて誤解をしています。実はPマークの取得は決して難しいものではありません。

コンサルタントとして本当は教えたくない「Pマークって実はこうすれば楽にかんたんに取得できる方法」について解説します。

セミナーの詳細や日程については下記よりご参照ください。

The following two tabs change content below.
マーケティンググループ

マーケティンググループ

私たちは、プライバシーマーク(Pマーク)コンサルティングに新しい価値を生み出し、情報セキュリティ市場の活性化を目指すコンサルティング集団「ホリデーコンサルティング」です。 、「プライバシーマークやIS27001を取得検討されている方」に対して「小予算かつ短期間で取得する」ための支援を行います。
マーケティンググループ

最新記事 by マーケティンググループ (全て見る)

コメントする

*
*
* (公開されません)