Semplice - 隠蔽されているマルウェア・ウイルス・スパイウェアを発見する

発見できないウイルス・スパイウェア

　ウイルス・トロイの木馬などに感染した後になってから、アンチウイルスソフトにより解決を試みても、期待通りの結果を得られない場合がある。
　大体アンチウイルスソフトなどは、感染した後にどうこうする目的のものではないのでは。むしろ感染しないように予防させるためのものと考えた方が、よりスマートである。


　ウイルスに感染してしまえば、アンチウイルスソフトの動作は正常でなくなる可能性がある。
　一例であるが、
　1）アンチウイルスソフトメーカーへの接続を妨害する。
　これによりウイルス定義ファイル（シグネチャファイル）の更新を妨げる。
　最新の状態でなければ、検出できないウイルスもあるだろう。
　2）アンチウイルスソフトを停止させる
　これでは感染中にはどうしようもないのだが。
　場合によってはメーカーなりMicrosoftが提供している削除ツールを利用して解決できる場合もあるだろう。
　3）Rootkit（ルートキット）
　マルウェア関連のレジストリのキー、実行ファイルなどを隠蔽。
　その存在は通常にOSを起動した場合には、全く目に見えないだろう。

OSを起動せずにウイルスに迫る

　上記の理由にて、ウイルスが処理できない場合。どのような方策で解決したらば良いのだろうか。
　特にRootkit（ルートキット）の場合は、完全にお手上げ状態なのだ（Rootkit（ルートキット）とWindows（Semplice））。
　まずは感染中のWindows OSを起動してそこからアンチウイルスソフトを起動しても駄目、またシステムの復元機能が動作しない場合を考えてみよう


　一昔前は、アンチウイルスソフトから起動フロッピーを作成し、これによりスキャンする方法があったような記憶があるものの、定かじゃない。
　SymantecのNorton AntiVirus救済ディスクセットなどは、NTFSのボリュームは認識できなかったような記憶がある。
　課題としていずれ時間があったらば、じっくり考えてみよう。


　またPE Builderなるソフトを用い、WindowsXPのブータブルCDを作成しこれにより処理する方法があるらしい。
　試していないんだけど、Norton AntiVirus用のプラグインを作成してスキャンできるとの話をチラッと先日伺ったのだ。
　詳しい話は全くわからないものの、いずれじっくり調べる予定。
　NN SPACE- PE BuilderでWindowsXPブータブルCDROM(BartPE)を作ろう -Ｎ×Ｎ空間が　参考になると薦められたものの、まだじっくりと読んでいないのだ。


　もしもアンチウイルスソフトに依存せずにやるとしたらば、回復コンソールで個別のファイルを削除する、とか。
　しかしこれはあまり利便性が高くない方法であり、ハードルが高い。
　既存のファイルにマルウェアが付加する形で感染している場合などは、どこまで対応できるんだろうか。
　そしてマルウェアの本体となるファイルがいずれなのか、予め情報を得る必要がある。この点でこれは困難である。

デュアルブートで起動・ハードディスクを外してウイルススキャン

　アンチウイルスソフトがそのマルウェアに対応しているにも関わらず、感染中のOSを起動しそれよりウイルススキャンをしても、その結果が十分ではないと予想される場合なのだが。
　まずは二つの方法、それぞれについて。


　デュアルブートについては、ご存知の方も多いと思われるのでこの場では詳しくは書かないでおきますが。
　ハードディスクのパーティションがCドライブとリカバリー領域のみのパソコンもあるのだが、この場合はPartitionMagicなどのソフトを用いて、Dドライブを作成する必要がある。
　またメーカー製のOSプリインストール機の場合は、パッケージでOSを購入する必要が生じる。
　その点でやや経費がかさむやもしれない。
　（パッケージのWindows OSがあるならば、1台のパソコンの複数のパーティションにそれぞれインストールしてもライセンス的には問題が無いらしいが、その辺は未確認）
　しかしブートレコード感染型のウイルスであった場合、確実な修復は期待できないだろう。


　ハードディスクを外し、他のパソコンに接続する方法なのだが。
　具体的にはスレーブ接続する、またはハードディスク外付けケースを購入し他のパソコンに接続することになる。


　さて、これら2つの方法の利点は、感染中のOSを起動しなくてもいいとの点に尽きる。これらの方法では、隠蔽されているファイルは隠蔽動作が通用しなくなるのだ。
　そしてデュアルブートならば新規にインストールしたDドライブのOS、またハードディスクを外したならばそれを接続したパソコンより各種操作を行う事となる。
　アンチウイルスソフトでスキャンするなり、またファイルの作成された日付を元に、マルウェアの本体を探しても良いだろう。


　しかしいずれの場合であっても、感染中のOSのレジストリの修復まではできないだろう。これは復旧作業の後で、手動でregeditより修復するしかない。

アンチウイルスソフトのCD-ROMによるマルウェア検出

　アンチウイルスソフトを導入時に、既にそのパソコンが感染しているのか否かを診断する目的で、そのような機能が備わってはいるんだが。
　一見するとこれは、OSを起動せずにスキャンできるため、有用な方法とは思えるんだけど。
　アンチウイルスソフトのCDからブートしてのスキャンは、シグネチャやエンジンが古く、最新のマルウェアには対応できない可能性がある。
　このような手法は意味が無いどころか、レジストリやその他iniファイルへのエントリを修復する際に不具合を生じさせてしまう可能性すらある。

関連記事

　Rootkit（ルートキット）とWindows
　マルウェア・ウイルスの感染実験
　ERD CommanderでWindowsを調査する

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2005-05-05 アンチウイルスソフトのCDによるマルウェア駆除（http://d.hatena.ne.jp/LucaLuca/20050505#p1）の転載を含みます。