• ベストアンサー

未知の検出できないマルウェアが感染しているかの診断

http://download.sysinternals.com/Files/Autoruns.zip からダウンロードできるソフトウェアautoruns.exe、autorunsc.exeという無料のMicrosoftのデジタル署名が入ったソフトウェアがありますが、autoruns.exeを実行して表示される項目でLogonという項目がありますが、ここに表示されるexeファイルの追加や削除などの監視と、そのexeファイルが改ざんや破損されてないか(ハッシュ値やサイズの監視)をチェックしていれば十分ですか? autorunsc.exeをコマンドプロンプトで実行したらLogon項目の全exeファイルのハッシュ値が表示されます(便利)。

質問者が選んだベストアンサー

  • ベストアンサー
  • wamos101
  • ベストアンサー率25% (221/852)
回答No.3

こんにちは。 私はクラッカーサイト巡りや対策ソフトの性能テストなどをしております。 >ここに表示されるexeファイルの追加や削除などの監視と、そのexeファイルが改ざんや破損されてないか(ハッシュ値やサイズの監視)をチェックしていれば十分ですか? いや、ぜんぜん。私はAutorunsも使いますけど、Startuplistも使ってます。 参考までに教えてあげますけど、最近のMalwareはHKLM・・・・run等も使いますけど、変則的なところではActiveX StartupやIFEO(Image File Execution Options)など。

sas13456
質問者

お礼

そうですか。そこも見るんですか。ありがとうございます。 StartuplistはHijackThisの機能らしいですけど、このHijackThisは数年前に耳にしてフリーソフトで英語なので使ってませんでしたが、Trend Microさんのデジタル署名が入った優秀なソフトウェアですね。これなら理解できそうです。解説の日本語ページもあるし。

その他の回答 (2)

  • seadragon
  • ベストアンサー率44% (361/820)
回答No.2

回答番号:No.1です。 意味を取り違えてすみません。 使用方法は特に問題ないと思います。 http://www.hippo.azimech.net/AtTheSpring/UsingAutoruns.html

sas13456
質問者

お礼

いえ、ありがとうございました。

  • seadragon
  • ベストアンサー率44% (361/820)
回答No.1

Virustotalより https://www.virustotal.com/jp/analisis/5de2756790fbffa10d493bd890eded0c https://www.virustotal.com/jp/analisis/a2cd8239c5da6df06810f5e32d4ba9f8 Microsoftのデジタル署名があるのでしたら問題ないと思います。

sas13456
質問者

補足

ありがとうございます。 autoruns.exe、autorunsc.exeが安全なソフトウェアか質問したんじゃなく、使い方と診断方法が正しいか質問したんです。

  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. ウィルス・マルウェア

関連するQ&A

  • INIファイルの改ざんを検出する

    自作でソフトウェアを作成しているのですが、その中でINIファイルに設定を書き出しています。 しかし、実体のあるテキストファイル(INI)で保存すると、簡単に改ざん(ユーザーの意図していない悪質な改ざん)をされてしまうことになります。 ソフトウェアの性質上、INIファイルに保存されているデータをevalすることがあるのですが、 もしそこが改ざんされていれば大変なことになりかねません。 そこで、INIファイルの改ざんを検出、または改ざんされないようにしたいのですが、どのような手段があるでしょうか。 自分で考えたのは、 アプリケーション終了時に ・INIファイルのMD5ハッシュを取得、それを記憶。 ・INIファイルのタイムスタンプを記憶。 をして、次回起動時に現在のINIファイルのMD5,タイムスタンプと比較して、改ざんを検出するというものです。 ですが、この方法だと結局はMD5のハッシュ値やタイムスタンプをどこかに保存しておかねばならず、 そうなるとそれらも改ざんされる恐れがあって結局意味を成さなく成ってしまいます。 どうすると、一番効率的で安全でしょうか。 レジストリも結局は改ざんされてしまいます。 そもそも、完全に改ざんを防ぐことはできないだろうと思っていますので、 出来るだけ改ざんされにくい方法、または改ざんを検出しやすい方法をご教授いただければと思います。 様々な意見を頂きたいので、既に回答が出ている場合も追加で回答頂けると幸いです。

  • ※至急※ マルウェアに感染したのでしょうか

    本日、誤って(ttp://apps.foxtab.com/aviconverten/) というサイトにアクセスしてしまい 大慌てでgredというサイトで安全なサイトかどうか調べたのですが このサイトは危険と表示され(ttp://apps.foxtab.com/aviconverter/AviConverterSetup.exe) というものがマルウェアであると表示されました そのgredというサイトで解析を依頼し、結果も届いているのですが その結果が マルウェア解析レポートを作成するために使用されたプログラムファイルの属性情報です。 ファイル名 ttp://apps.foxtab.com/aviconverter/AviConverterSetup.exe プログラムの分類 WORM プログラムのサイズ 545280 バイト プログラムの作成日時 1992-06-20 07:22:17 MD5のハッシュ値 0xd7a63fa3da26032f7de13c304da9fd0f SHA1のハッシュ値 0x0f091d6d9e2c50bfbabd3f4647e2186fa836a2c9 複数のアンチウイルスソフトウェアのスキャン結果です。マルウェア解析レポートを作成するために使用されたプログラムファイルは定期的にスキャンされます。結果が[アンチウィルスソフトウェアで識別できませんでした]の場合は、未検知を意味します。 •[Symantec: Unknown ] •[TrendMicro: Unknown ] という表示で下にもいろいろと書かれているのですがよく分かりません 今、ウイルスバスター2010で全体を検索しているのですが この後、どうすればよろしいでしょうか? 専門の業者さんにでも来ていただきて、除去していただいたほうがいいでしょうか 朝になればTrendMicroにでも電話して指示を仰いだほうがいいでしょうか なにとぞよろしくお願いします

  • 画像、動画ファイルからのマルウェア感染

    動画、画像ファイルから感染することありますよね? 1: exeファイルでは検知できるマルウェアも動画、画像ファイルの拡張子(wmv,mp4,mpg,jpg,jpeg,gif...)のファイル名に変えられてPCに置かれている場合(このファイルはファイルAとする)、拡張子が変えられているためアンチウイルスソフトが検知できず(未確認でまちがってるかも)他のexeファイル(このファイルはファイルBとする)を実行するとこの拡張子が動画、画像ファイルの物に変えられたファイル(ファイルA)を再びexeファイルに戻し実行され感染 2: 画像、動画ファイルの中に他のファイルを隠すフリーソフトがあるが、そんなソフトウェアでマルウェアを画像、動画ファイルの中に忍ばせ(このファイルはファイルAとする)アンチウイルスソフトの検知を回避。 他のexeファイル(このファイルはファイルBとする)を実行するとその隠されたマルウェアが画像、動画ファイルの中から(ファイルAから)取り出され実行され感染 こんな1,2のような場合アンチウイルスソフトで画像、動画ファイルを検査しても検知されませんよね?マルウェアの入った画像、動画ファイルがPCに保存されてると気持ちわるいんで。

  • 見えないレジストリキーの発見法

    C:\WINDOWS\regedit.exe や C:\WINDOWS\system32\regedt32.exe を実行しても見えないレジストリキーってあるんですね? HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  や HKCU\Software\Microsoft\Windows\CurrentVersion\Run 等のスタートアップにその見えないキーがあったら不安で怪しいですよね? どうやったら隠れたレジストリを全て見えるようにできますか? http://download.sysinternals.com/Files/RegHide.zip のRegHideというツールが通常のレジストリエディタでは見えないキーの作成ができるそうですので。

  • ウイルス感染か・・・。

    マイコンピュータを開き、その中の LocalDisk-P1(C:)やLocalDisk-P2(D:)などを開くと、 Warning! Attention, (ユーザー名)! Some dengerous viruses detected in your system, Microsoft Windows XP files corrupted. This may load to the destruction of important files in C:¥WINDOWS Download protection software now! Click OK to download the artispyware (Recommended) と表示されます・・・。 そして、いいえを押して、ファイルを開いていく毎に、また同じメッセージが表示され、 ゆくゆくは画面がフリーズしてしまいます。 avast!の無料版でウイルス検査したのですが、ウイルスは発見されませんでした・・・。 普通にインターネットなどはできるのに、マイコンピュータ内のファイルが開けません・・・。 解決法を教えてください! 宜しくお願いします。

  • ワード文書に電子署名を添付するには

    友人からの質問なんですが、ワード文書に電子署名を添付するためにファイル名を指定して実行でc:\Program Files\Microsoft Office\Office10\SELFCERT.EXEを探さなければいけないのですが、ファイルが見つからないというエラーが表示されるということなんですが、どうしたら解決できるでしょうか?

  • 検索ソフトeverythingのexeとzipの違いはどういったものでしょうか?

    ファイル検索ソフトウェアEverything(Everything search engine)の、 exe(インストーラー版) zip(ポータブル版) はどう違いますか? そんなに速度も違わないでしょうか? レジストリを使わないでも同じでしょうか? http://www.voidtools.com/download.php

  • ADMIN権限を乗っ取られた場合のマルウエア対策

    質問です。ユーザーの管理者権限、wINDOWSではADMINISTRATOR権限が乗っ取られた状態でマルウエアをクラッカーにインストールされた場合、また、システムファイルを改ざんされた場合、最新版のファミリーセキュリティにある振る舞い監視でマルウエアの活動を検出できますか? ※OKWAVEより補足:「ESETセキュリティ ソフトウェア シリーズ」についての質問です。

  • 圧縮ファイルのウィルス感染について

    zipやrarなどの圧縮ファイルを解凍ツールで解凍するだけで ウィルスに感染することはあるのでしょうか? (解凍後のファイルは一切実行しない状態です) (exeなどの自己解凍形式は除きます) よろしくお願いいたします。

  • spybot 1.5.2 の 2008-05-14 のspybotsd_includes.exeの サイズ教えてください!

    http://www.spybot.info/jp/download/index.html にあるDetection updates 2008-05-14 の分の何バイトか教えてください。1バイト単位で。 本当はハッシュ値で判別したいんですが 1 http://www.spybot.info/jp/download/index.htmlの記載のMD5が改ざんされてるかもしれない 2 okwaveの回答でMD5を聞いてもあまり教えてくれない の理由でサイズ確認にしました。 ファイルのプロパティのデジタル署名で改ざんされてないかどうか 判断できるらしいですけど、どこを見て判断したらいいかわかりません。 1週間ほどしたらこの分がダウンロードできなくなるので早めにお願いします

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する