- ベストアンサー
一生発見できないウイルス、スパイウェアの発見、駆除
市販総合セキュリティソフトを入れていても発見できないウイルス、スパイウェアがあります。一人、個人を狙って作成されインターネットに出回らないので対策の定義ファイルが作成されないからです。 こんなウイルス、スパイウェアを発見するにはヒューリスティックに頼るしかないんですか?
- sas13456
- お礼率60% (96/159)
- ウィルス・マルウェア
- 回答数9
- ありがとう数12
- みんなの回答 (9)
- 専門家の回答
質問者が選んだベストアンサー
#2です。度々申し訳ない。 私がQNo.4423111で回答したProactive系のテスト結果を貼っておきます。 http://uproda11.2ch-library.com/src/11131576.rar.shtml P:avp ロダですので、当然ある程度時間経つと消えると思います。興味のある方はお早めに! ※ 10月15日時点のシグネチャ 各ソフトともあえてデフォ設定 WAN側ケーブル抜いてやってます Kaspersky_Bypass_Testフォルダのやつは本来カスペで検出できるMalwareをとある改変ツールで検出されないようにしてから実行テストを行ってます。ベースはBackdoor.Win32.Bifrose.fmvです。 なお、このテスト結果については私は100%責任を持ちますし、また再現もできます。仮にベンダから突っつかれてもぜんぜん平気。事実だから。
その他の回答 (8)
- doki2
- ベストアンサー率51% (440/860)
>一生発見できないウイルス、スパイウェアの発見、駆除 あなたには一生無理でも、少し知識のある人なら5分で解決できるかも・・・ もっと具体的に感染状態を説明しないと一生解決できないと思いますが、いかが? 参考:HijackThisログ解析入門 http://www.higaitaisaku.com/htkaiseki.html 参考:「Autoruns」詳解 http://fine.tok2.com/home/heto2/0401Autoruns/mokuji.htm
お礼
ありがとうございます。 参考になります。
- wamos101
- ベストアンサー率25% (221/852)
#2です。 ここまでの回答を見ていて気付いたことがあるので再度アドバイス致します。 実は私もCDブート(CDブーストではないw)のLiveCD系には興味があります。ただ、一般的にはLiveCDのみではデータ保存が出来ないので使い勝手悪い。結局、大容量USBメモリにUbuntuとか入れたUSBブートのほうが使い勝手よい。 ※myPdiscやそれ系のデータ保存可能なものもある やはり、将来的には仮想システムですよ。現に http://www.intel.co.jp/jp/business/business-pc/catalog-solution/symantec02.htm 私は各種テストでVMWare Playerを使ってます。他にはVirtual PCやVirtualBoxといったものがあります。 http://www.ubuntulinux.jp/products/GetUbuntu こちらには、VirtualBox、VMWare、それぞれ用のイメージファイルが用意されてます。 ちなみに、私のVMWare PlayerではゲストOSはLinuxではなくWindows XPです。
お礼
ありがとうございます。 ためしてみます。
- yokosukiti
- ベストアンサー率15% (61/406)
時代はCD-ROMブーストだ! HDなんて外してもOK♪ そうすれば、ウィルス対策ソフトなんて不要だぞ! すごいんだぞ! 仮想化なんちゃらも、確かに凄いけどね。 結局、感染している状態になったら、仮想している意味もないし。 仮想の重要性ってか、本質的な意味合いを見失ってる意見が多いね。 間違ってもないけど、視野狭窄は怖いよ♪
お礼
ありがとうございます。 検討してみます。
>一生発見できないウイルス、スパイウェアの発見、駆除 リカバリが簡単で確実な方法です。 リカバリすればどんなウイルスもキレイサッパリ消えます。 セキュリティソフトの本分は、ウイルスの侵入を防ぐことです。 すでに感染している場合は手遅れと考えたほうがいいです。 ウイルス侵入防止策については他の回答者さんの仰るとおりです。
お礼
そうですね、ありがとうございました。
- wamos101
- ベストアンサー率25% (221/852)
#2です。 まあ、Web経由の感染なんかはぶっちゃけ#1さん言われるように仮想ブラウザですよ。 #3さんのように自分でこまめに努力する習慣がついてる人はいいんですが、大半の一般人は対策=対策ソフトのイメージですからね。 [私のセキュリティー環境] Kaspersky Antivirus 2009+Comodo Firewall 3.0 ZoneAlarm ForceField Acronis True Image Home 11.0 Acronis TIに関しては「試用モード」も稼動 http://www.runexy.co.jp/products/acronis-trueimage-11/new.html この体制だとほぼ100%感染させるの無理。 ちなみに、Acronis TIの試用モードと同様なシステムがReturnil Virtual SystemやWinProtector、MSのWindows SteadyStateですね。MSのやつなら旧VerのShared Computer Toolkit for Windows XPのほうがどっちかと言うとお薦め。 あと、情報漏洩なんかはたとえ上記のような体制であっても一発漏れたらそれまでですのでデータの暗号化ですよね。 よく言われることですが、やはり多層防御だと思います。
お礼
Acronis True Image Home これは初めて知りましたが検討します。 ありがとうございます。
- ryu-fiz
- ベストアンサー率63% (2705/4228)
こういう考え方も出来ます。 例え対策ソフトでの検出が出来ない場合でも、PC内に取り込まれた感染の引き金となるファイルが実行されないならば当面の安全性は保たれる。 ↓ 定期的にインターネット一時ファイルやその他の一時ファイルをクリアしていけば、同時に入り込んだ感染の引き金となるファイルも削除され、PCには何の問題もない。 参考までに、私が日頃感染対策として紹介しているテンプレートを記しておきます。 ***** 昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。同様な感染を防ぐために次のような点に注意してください。 1)各種アプリケーションソフトのセキュリティ更新を怠らない。 Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点=脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、 ・Firefox、Operaなどのブラウザ。 ・Sun Java 仮想マシン(JRE)。 ・Flash PlayerやShockwave Playerなどのプラグイン。 ・Real Player、QuickTimeなどのメディアプレイヤー。 ・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。 最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。 http://internet.watch.impress.co.jp/ http://www.itmedia.co.jp/enterprise/security/ こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。 2)標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。 IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。 でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。 http://www.mozilla-japan.org/products/firefox/ http://jp.opera.com/ もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。 もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。 http://www.oshiete-kun.net/archives/2006/05/iereducedpermissions.html 制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。 なお、Windows Vista上のIE7では、感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点=脆弱性の影響には十分注意しなくてはいけません。その辺は1)で説明した通りです。 ***** ユーザーが自発的にファイルを開くなどして感染に至る、という以外の感染、つまりウェブ閲覧をしているだけとかネットに繋いでいるだけで感染に至るケースの場合は、感染の引き金となるものが必ず存在します。そして、その引き金が引かれる直接の原因となるのは、 1)OSやアプリケーションソフトに存在するセキュリティ上の問題点=脆弱性 2)Internet Explorerに搭載されたJScriptに存在する、システム関連操作がブラウザ上で出来てしまうという危険な仕様 このいずれかです。なので、各種脆弱性を極力排し、IEの常用を止めることで大多数の感染は実質的に止めることが出来ます。そうなれば、もしウイルス対策ソフトがリアルタイムに検出出来ない場合でも、深刻な感染に至ることはない訳です。 確かに即座に見つけて処理出来ることが最も望ましいのでしょうが…それが難しいからといって100%絶対的な危険に繋がるとは言えない訳です。仮想化云々が有効な手段であるにしろ、それ以前に行うべき危険回避の手段が実はきちんと行われていない、というケースはまだまだ多いと言えます。 現状として、高機能なソフトに頼らなければ手も足も出ずどうしようもないのだ、ということではないと私自身は思っています。
お礼
>現状として、高機能なソフトに頼らなければ手も足も出ずどうしようもないのだ、ということではないと私自身は思っています。 そうですね、ありがとうございます。
- wamos101
- ベストアンサー率25% (221/852)
こんにちは。 私はクラッカーサイト巡りや対策ソフトの性能テストなどをしております。 まあ、この辺の話になるとこのカテでは私ぐらいでしょうね、ある程度答えられるのは。 で、ヒューリスティック以外にもBehavior BolockerあるいはHIPSなどがあります。 ちなみに、クラッカーサイトではネットにばら撒かないPrivate Versionも宣伝されてたりします。また、有償による手動改変などを請け負うクラッカーも居て、デモビデオでお客を募ってたりします。万一検出されてしまったら、一回は再改変をサービスするなんてことも。 難読化ツールなんかは非常に高度化してきてますね。バイナリ解析をブロックするようにしてきてます。これらを使うと既知のMalwareでもけっこう再利用できたりするようです。また、これらのツールの中にはフォアグラウンドあるいはバックグラウンドスキャンが始まると自身を暗号化するように改変を加えることができるものが存在します。 まあ、近い将来的には何らかの仮想システムに踏み出さざるを得ないと思いますね。
お礼
仮想システムですね... ありがとうございます。
- seadragon
- ベストアンサー率44% (361/820)
現在、ウイルスやマルウェアを100%検出するための解決策は何もありません。 ヒューリスティックは当てになりません。 取り敢えずWebからのゼロディ攻撃対策に仮想ブラウザの利用を推奨 します。 『ZoneAlarm ForceField』 http://www.junglejapan.com/products/sec/zone/zaf/ OS自体の仮想化の方が良いですが現状サポートの確りした 初心者向け製品はないようです。 尚、補足ですが最近の攻撃は脆弱性を使用したものが多いのでOSや対策 ソフトを含めPCに導入した全てのソフトを最新版にしておく事が重要に なります。
お礼
ZoneAlarm ForceField は気になってました。 ありがとうございます。
お礼
ありがとうございます。