不正プログラムの特定 マルウェアの感染チェック

情報セキュリティ

マルウェアの感染チェック

マルウェアの感染チェックには通常、ウイルス対策ソフトを利用します。

国内では、Symantec社、McAfee社、TrendMicro社、Kaspersky社、F-Secure社などの代表的なウイルス対策ソフトベンダーがあります。

これらウイルス対策ソフトベンダーが入手した検体においては、定義ファイルが作成され駆除・削除などの対処が可能になります。

ただし、ウイルス対策ソフトベンダーが新しいマルウェアの検体を入手できていない場合には、定義ファイルを作成することができないため駆除・削除が難しいケースもあります。

このような場合のチェック方法の1つとして、インターネット上から実施可能なウイルス対策スキャンや、インストール不要のチェックソフトウェアを用いる方法があります。

これらを利用する場合、機能制限があることは顧慮し、補助的なツールとして利用しましょう。

フルスキャンによるチェック

マルウェアヘの対策には、ウイルス対策ソフトを利用します。

多くのウイルス対策ソフトは、常時監視機能を備えています。

そのため、不正と推測されるプログラムがPC上に保存された際に、駆除・削除などの処理を行いPCの安全性を保つことができるのです。

しかし、システム環境や攻撃手口によっては常時監視機能が回避されてしまうケースがあります。

そのような場合には、既知のマルウェアに対するものであったとしても、システムへのフルスキヤンを実施することが推奨されます。

多くの常時監視機能による一時スキャンは、動作中のプロセスのみをスキャン対象としています。

それに対し、フルスキャンの場合PC上のファイルをあらかたチェックすることができます。

そのため、過去に検出不可であったマルウェアを新たに発見することができる場合もあるのです。

必ずしも検出できるというものではありませんが、可能な限りフルスキャンを活用したいところです。

また、ウイルス対策ソフトは1台のPCに対して複数導入することは一般的ではありません。

しかし、新規のマルウェアが疑われる場合には、複数のウイルス対策ソフトを用いてスキャンを行いたいケースもあるでしょう。

このような場合には、Google社が運用する「VirusTotal」などのサービスの活用が良いでしょう。

対策ツールでマルウェアが見つからない場合

高性能な対策ツールと言えども、日々開発されるマルウェアを全て検出するのは大変難しいことです。

万一の際には、自身で見つける必要があります。

 

ウイルス対策ソフトがマルウェアをそれと判断して検出できるのは、既知のものか、類似の挙動を示した場合に限られます

そのため、怪しくともマルウェアとは判定ができず検出されない、微妙な状況のプログラムも多々存在するのです。

このような状況で活用すると便利なのが、「PeStudio」です。

怪しいプログラムファイルをPeStudioにドラッグ&ドロップすることで、VirusTotalへの過去の分析結果の問い合わせや、該当プログラムの特徴を表示してくれます。

この結果だけで悪性のプログラムファイルかを判断できるわけではありませんが、おおよその判断材料にはなり得ます。

PeStudioは、以下のURLからダウンロードすることができます。

ツール名:PeStudio

使用目的:不正プログラムの検出

入手方法:https://www.winitor.com/

ダウンロードしたZIPファイルを任意のフォルダーに解凍、「pestudio.exe」をダブルクリックすることで実行することができます。

PeStudioが起動したら、調査対象のファイルをドラッグ&ドロップします。

VirusTotalと連携することで分析が行われます。

SecureAPlusなどのアプリケーションホワイトリストを利用している場合に、DLLの署名などに対するメッセージが記載される可能性がありますが、これは怪しいプログラムではないので、利用を許可して進めましょう。

PeStudioの分析結果では、該当プログラムのハッシュ値をチェックしたものが確認できます。

ウイルス対策ソフトによる検知状況がわかるため便利ですが、過去にVirusTotalにアップロードされたことがないファイルの場合分析結果が表示されません。

また、表示された結果が過去のスキャン結果である点を注意して利用したい。

括弧内に記載の日付がスキャン日時を示しているので、あまりに古い場合は再スキャンを行うなどの確認が必要でしょう。

その際に「indicators」の項目が重宝します。

「もしかしたら怪しいのでは?」と疑われる項目を表示してくれるのです。

分析結果として表示されたものに、必ずしも悪性コードを含むとは限りませんが、目安の1つにはなるのではないでしょうか。

ただし、90年代のコンピュータウイルスであるMS-DOSの実行ファイル形式「.com」拡張子のものなど、古すぎる検体に対してはプログラム中の文字列を確認する程度なら可能ですが対応していません。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

writer007