セキュリティソフトで隔離されたウイルスについての疑問

前へ 次へ
このQ&Aのポイント
  • ウイルスがセキュリティソフトによって隔離される場所とはどこなのか知りたい。
  • 隔離されたウイルスやスパイウェアは活動できないのかについて教えて欲しい。
  • Natas.mpというウイルスの技術情報がよくわからないので、詳しい説明をして欲しい。
回答を見る
  • ベストアンサー

セキュリティソフト ウイルス隔離

McAfeeで半年前に検出されたウイルス(Natas.mp)が隔離されていたのを、今日気づきました。 「隔離では、パソコンに影響を及ぼさない安全な場所に不審な項目を移動します」と書かれているのですが、”パソコンに影響を及ぼさない安全な場所”とはどこでしょうか? また、隔離されたウイルスやスパイウェアなどは活動できないのでしょうか?その仕組を教えて下さい。 ついでに、Natas.mpの技術情報?のようですが、意味がわかりません。わかりやすく教えて下さい。 「これは、危険なメモリ常駐するマルチパータイトポリモフィックウイルスです。それは、INT 13h, 21h をフックして、ハードドライブの MBR とフロッピーディスクのブートセクターとアクセスされた COM と EXE ファイルの終わりににそれ自身を書きます。それは、PKZIP/PKUNZIP, LHA と ARJ 圧縮によってオープンされるファイルは感染させません。その内部のカウンターによっては、ウイルスはディスクセクターをフォーマットします。それは、内部にテキスト文字列を含みます。」

質問者が選んだベストアンサー

  • ベストアンサー
  • chie65535
  • ベストアンサー率43% (8520/19368)
回答No.2

>”パソコンに影響を及ぼさない安全な場所”とはどこでしょうか? McAfeeが用意した「隔離用フォルダ」です。 そのフォルダは、システムファイルや実行ファイルがあるかどうか探されるフォルダには含まれていませんので、そのフォルダを開いて中にあるファイルを自分でクリックしないかぎり、そこにあるファイルは実行されません。 >また、隔離されたウイルスやスパイウェアなどは活動できないのでしょうか? 活動できません。 >その仕組を教えて下さい。 通常、ウィルスとして活性化するには「何らかの方法で、ウィルスそのものが実行される必要」があります。 その方法は ・システムファイルが置いてあるフォルダのシステムファイルに寄生し、OSから実行される ・レジストリのスタートアップに登録し、OS起動時に実行されるようにする ・ユーザーにクリックさせてユーザーに実行させる などです。 で、セキュリティソフトがウィルスを隔離する場合は セキュリティソフトだけが知っているフォルダにファイルを移動し、クリックしても実行されてしまわないよう、ファイルの拡張子を変えてしまう と言う事をします。 こうすると ・隔離場所がシステムファイルが置いてあるフォルダではないので、OSから実行されない ・レジストリのスタートアップに登録してあるフォルダ位置ではなくなるので、OS起動時に実行されない ・隔離フォルダはユーザーには判らないフォルダだし、拡張子が変えてあるので、ユーザーがクリックしても実行されない と言う状態になります。 「実行されない」のであれば、ウィルスが存在していても、活動する事は出来ません。 >ついでに、Natas.mpの技術情報?のようですが、意味がわかりません。わかりやすく教えて下さい。 「メモリに常駐するウィルスです」 「常駐すると、ディスクアクセス用のサービスルーチンを乗っ取ります」 「ディスクアクセス用のサービスルーチンが乗っ取られると、HDDやフロッピーのブートブロックが書き換えられ、拡張子がCOMやEXEになっている『実行可能ファイル』の後ろに自分自身のウィルスを寄生させます」 技術情報には書かれていませんが、これは「HDDやフロッピーのブートブロックが書き換えられると、HDDやフロッピーから起動する際にウィルスが実行されメモリに常駐します。また、ウィルスに寄生された実行可能ファイルが実行されるとウィルスが実行されメモリに常駐します」と言う意味も含まれています。 「*.zipや*.lzhや*.arcや*.rarなど、圧縮されてアーカイブになっているファイルには感染しません」 「ウィルスに感染後、ウィルスが実行される回数が一定の回数に達したら、ウィルスはディスク(HDDやフロッピー)をフォーマットして、データを全消しします」 「ウィルスには、特定のテキスト文字列が含まれています」 と言う意味です。

STOP_0xc000021a
質問者

お礼

回答有難うございます。 隔離は思っていた以上に単純なんですね。

その他の回答 (2)

  • Tech_on
  • ベストアンサー率36% (12/33)
回答No.3

こんにちは。 解説致します。 >”パソコンに影響を及ぼさない安全な場所”とはどこでしょうか? 既に#1さんが回答されてます。専用の保存フォルダです。 >隔離されたウイルスやスパイウェアなどは活動できないのでしょうか?その仕組を教えて下さい。 はい、出来ません。暗号化による不活性化処理が施されます。実行しようとしてもWindowsのローダーが動かないです。 なお、「駆除」と「削除」は処理として違います。削除はまんまウイルスプログラムファイルの削除です。「駆除」はファイル感染型ウイルスにおいて、感染ファイルの悪性コード部分の取り除きを意味します。悪性コードの追記は先頭に追記する場合、末尾に追記する場合、あと、キャビティー型というのもあります。これはセクションの間隙にコードを埋め込む特殊手法です。Obfuscation(難読化)の一種。 >Natas.mpの技術情報?のようですが、意味がわかりません 要するにMBR(Master Boot Record)感染型のウイルスだということです。システムの起動時から居座られるということです。マルチパータイトポリモフィックウイルスというのは、複合手法を持つ自己変化型ウイルスということです。ポリモフィックウイルスは通常polyという言い方をされてます。 >その内部のカウンターによっては、ウイルスはディスクセクターをフォーマットします これはおそらくウイルス自身が持つカウンター(変数)のことを言っていると思います。 >内部にテキスト文字列を含みます http://www.mcafee.com/us/downloads/free-tools/bintext.aspx ↑ これ、バイナリファイル内のテキスト文字を見ることができるツールです。当方でも分析でよく使っています。

STOP_0xc000021a
質問者

お礼

回答有難うございます。 なんとなくイメージはできました。 McAfeeのフリーツール、時間があったら色々試してみたいと思います。

回答No.1

概略は下記サイトに目を通してください。 http://vanilla.xrea.jp/virus/category1/entry30.html 上記サイトでは、「駆除」と「削除」を区別していますが、最近ではどちらも総称して「駆除」としているソフトが多いように思います。 また、「隔離」は「駆除」出来ないからというより、誤検知したウィルスでないファイルを元に戻せるようにという目的の機能です。 よって、まずは自動的に「隔離」され、そのファイルが不要なものであればユーザーが「駆除」を実行する、という流れになっています。 さて、”パソコンに影響を及ぼさない安全な場所”について OS・McAfeeのバージョンによって異なりますが、 C:\Users\(ユーザー名)\AppData\McAfee.com\VSO\Quarantine にあると思います。 このフォルダは「隠しフォルダ」になっているので、「フォルダオプション」で表示しないと見えません。 要は、「MBRを改変して寄生し、電源ONでメモリ上にロードされるタイプのウィルス。その種のウィルスの中の一部は、HDDのトラックの一部分をフォーマットしてしまいますよ。」ということでしょう。

STOP_0xc000021a
質問者

お礼

回答ありがとうございます >また、「隔離」は「駆除」出来ないからというより、誤検知したウィルスでないファイルを元に戻せるようにという目的の機能です。 >よって、まずは自動的に「隔離」され、そのファイルが不要なものであればユーザーが「駆除」を実行する、という流れになっています。 余談ですが、McAfeeがトロイの木馬と認識すると自動で削除されるようです(実体験)。

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. ウィルス・マルウェア

関連するQ&A

  • ウイルス隔離後

    こんばんわ 現在ウイルスを隔離しています。 ファイルをみつけて削除しようと思ったんですけど ファイルが見つからず諦めて、 ウイルスバスター2006を使っているんですけど、 私は毎日ゲームをやるんですが、 そのためにウイルスバスターを 終了させています。 このとき隔離されているウイルスは大丈夫でしょうか? しらべてみたところ安全なところに 保存されているようで、 自分でもたぶん大丈夫と思ってるんですけど・・ お手数をおかけしますがお願いします。 OSはXPです。

  • ウィルスセキュリティーでの隔離ファイル

    教えてください。 ウィルスセキュリティーZEROを使用しています。 警告があったのかもしれませんが、いつのまにか ファイル名:「A0279414.exe」「A006749.exe」 説明:「Trojan.Win32.Malware.1」 隔離場所:システムボリュームインフォメーション 上記ふたつが隔離されています。 これらのファイルはウィルスなんでしょうか? また、隔離される前はどこにあったかわかるものでしょうか? ウィルスであれば、隔離されていると言うことは感染していないと言うことで良いのでしょうか? 隔離ファイルから削除してもOKでしょうか? ながながとスイマセン。 アドバイスよろしくお願いします。

  • ウイルスの隔離できない

    似たようなものになってすみません。 ウイルスバスターを使用しています。 TROJ NOT.A が隔離できないと表示されました。 場所はC:\WINDOWS\32system32\xoyqvyxe.exeです。 場所が分かったので、このアプリケーション自体を削除しようとしたのですが「削除できません。アクセスできません、ディスクがいっぱいでないか、書込み禁止になっていないか、またファイルが使用中でないか確認してください」と出て、削除できません。 どうすればようでしょうか?

  • 隔離されたウイルスって?

    はじめまして、今回始めて質問しますalfと申します。パソコンにウイルスが進入したようで、セキュリティーソフトがファイルを隔離しているようなのですが、この後どうしたらいいのでしょうか?そのまま隔離した状態で何もしないでいいのでしょうか?削除したほうがいいのですか?この感染して隔離されたファイル名はZwinkyInitialSetup1.0.0.15-3(1).exe です。どなたか回答宜しくお願いします。

  • ウイルス隔離フォルダはどこ?

    パソコンを開いて、ウイルスバスターアップデート前に、メール受信をしてしまいました。 心配なので、手動検索をしたら、『Possible_Virus』(元の場所 C:\Program Files\SHARP\PowerEJ\BIN\QuickTrans.ocx)がみつかり駆除できず、隔離されました。 その状態で、もう一度手動検索をしてもウイルスは検出されませんでした。(隔離済みのため?) ホームページ上で『Possible_Virus』について調べると、すべてがウイルスというわけでもなくミス検出もあるとの事。そこで元の場所に戻してみると、すぐにリアルタイム検索で、同じものが検出され、隔離されました。 これはウイルスなのでしょうか? とりあえず、ウイルスバスターにメールで問い合わせてみようと思うのですが、このファイル(?)を添付したくても、『隔離済み』で隔離フォルダ内にあり、見つけることが出来ず、どうやったら添付できるのかわかりません。 それ以前に、これはウイルスなのでしょうか?

  • ウイルスを隔離してから

    質問です 初心者なので易しく教えてください 私のパソコン(ウインドウズミー)にウイルスバスター をつけました このあいだウイルスを検索したら 10匹もいました!!!!! インターネット関連ファイルに10匹いました そしてそのウイルスをみな隔離しました 現在の状況はぱーそなるファイアウオールは有効です そして検出された不正アクセスに異常があります ウイルスはいません みな隔離しました でもパソコンが変なんです 数字キーがみな 効きません。 どうすればいいのですか?先日ウイルスを 10匹発見して削除したのですがなんかまた検索したら 10匹いました 駆除はできませんでした 削除だけ・・・・

  • ウイルスバスター2008 隔離ファイルをどうすればいいか分からない

    ウイルスバスター2008がウイルス感染したファイルを隔離したみたいなのですが駆除しようとしても「この隔離ファイルは処理できません。復元しないでください。アップデートを実行し新しいパターンファイルで駆除を試してください」とでて駆除できません。 けどアップデートも最新の状態で更新できません。そのファイルの元の場所はwindows system32となっています。これって削除したら駄目ですよね?どうすればウイルスを駆除して元も場所に戻せるのでしょうか?それともウイルスは駆除されていてファイルを復元するだけでいいのでしょうか?

  • ウイルスが隔離できません。

    ウィルスセキュリティ2005でウィルス検査した時に「隔離できません」というファイルがひとつ出てきます。 「C:\proguram Files\NewNet\newdotnet6_38」というファイルです。 ウイルス名は「Non-Virus-Adware.NewDotNet」です。 セーフモードで再起動してからもう一度スキャンをやってみましたが同じ結果です。 パソコンを起動していると右下にどんどん「感染ファイルを検知しましたが処理しました。ご安心下さい。」のメッセージが出てきます。 ネットを見ることとメール程度の使用でパソコンの知識が全くないのでどうしたらいいのか、とても困っています。 WindowsXPを使用しています。 どうぞよろしくお願いいたします。

  • ウイルスバスター2002の隔離ファイルの場所は?

    ウイルスバスター2002で、ウイルス検出後 隔離されたファイルがたくさんあるんですが、 これを削除するときは一つずつじゃないと削除できないのですか? あまりに面倒くさいので一気に削除したいのですが。 そんな関係で、隔離ファイルの場所がわかれば一気に消せると 考えているのですが、場所がわかりません。 どなたか教えていただけませんか?

  • ウイルスバスター2004 隔離ファイルについて

    ウイルスバスター2004を購入して ウイルス検査をしたところ4059検出されました。。 検出されたウイルスはVBS_REDLOFです。 それで、ほとんどのファイルが隔離されて その隔離ファイルを処理したいんですけど どれがどうしていいかわからなくて。。。 パソコン初心者なので 「このファイルには不正コードが含まれています」と 「バックアップされたファイルです」など 意味の分からないステータスになっていて ファイルは総て削除してもいいんでしょうか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する