トピックス記事     カテゴリ : セキュリティ

マルウェアの感染発見

昔の愉快犯的ウイルスと異なり、マルウェアは存在を隠そうとするので、侵入しても気づかないことが多い。

手間いらずの対策は、ウイルス対策ソフトを使うことだが、最新版の定義ファイルでないと意味がない。新手の悪人(ウイルス)は、それを探せる人別帳(定義ファイル)がなければ、悪人(ウイルス)かどうか判断することができないからだ。
マイクロソフトがオンラインで行っているサービス、Windows Live OneCare PCも、マルウェアの発見に有効である。
Windows Live OneCare PCは、ウイルスの検知だけでなく、ウイルスの除去も行ってくれる。

マルウェアの感染治療

先のマイクロソフトのサービス、Windows Live OneCare PCは、ウイルスを発見すると除去してくれる。
システムモニタリングツール
マイクロソフトのシステムモニタリングツール Process Monitorを使うとマルウェアの動作を確認できる。
しかし、特定の日だけに動作し、それ以外は隠れているマルウェアには、日付を調整するなどの工夫が必要。
ウイルス対策ソフトも、ウイルスが発見されると除去する機能を持っている。

しかし、亜種が多いマルウェアの場合、ウイルス対策ソフトの機能だけでは除去できない場合もある。
このような場合は、ウイルス対策ソフトメーカ−のサイトに、手動で除去する方法や、特別な対策プログラムが公開されることがある。
これらの情報をもとに除去を行う。

ウイルス対策ソフトのメーカーサイトやマイクロソフトのサイトに接続できないようにするマルウェアもある。
      ※ hostsファイルは、一番先に尋ねる、インターネットでの道順が書いてあるファイル。
     hostsファイルが書き換えられている場合があるときは、hostsファイルを書き直す
     hostsファイルの書き直しには「メモ帳」(Notepad)を使う。
hostsファイルは以下の場所にある。
    Windows NT、Windows 2000
        C:¥WINNT¥system32¥drivers¥etc¥hosts
    Windows XP
        C:¥WINDOWSsystem32¥drivers¥etc¥hosts
    Windows Vista
        C:¥Windows¥System32¥drivers¥etc¥hosts
hostsの例

hostsファイルの例。(デフォルト)
     127.0.0.1 localhost
     「LocalHost」とは、自分自身のパソコン(番地)という意味。
     #が先頭にある行は、コメント行(説明行)

マルウェアに書き換えられた hostsファイルの例
     127.0.0.1 www.microsoft.com
     127.0.0.1 jp.trendmicro.com
     127.0.0.1 www.symantec.com
「127.0.0.1 www.microsoft.com」は、「マイクロソフトのサイトはここ(自分自身)である」ということ。
したがって、インターネットの中のマイクロソフトのサイトには接続しない。つまり希望するサイトは見ることができない。
書き方を変えれば、マイクロソフトやトレンドマイクロ、シマンテックのサイトを見ようとしたとき、攻撃者のサイトに連れて行くこともできる。


Comments

Add Comment

このアイテムは閲覧専用です。コメントの投稿、投票はできません。
 
Copyright | 8 Peaks Inc. | Saku City NAGANO | 0267-82-7082 | Back to top