Loading...

ナレッジセンター


感染した可能性があるファイルを検索するトラブルシューティングの手順 (ウイルスが検出されない場合)
技術的な記事 ID:  KB80183
最終更新:  2014/02/13

概要

要約
 

この文書では悪意のある可能性のあるファイルを特定するために利用する各種ツールについて記載しています。

注意: : 下記に記載のあるサードバーティ製のプログラムについての詳細を記載することはできません。 詳細についてはそのプログラムのヘルプファイルなどを参照して下さい。

問題

McAfee の アンチウイルス製品では感染が検知できない場合があります。

下記のような症状が認められます:

  • CPUの利用率が高くなり、不明なプログラムが実行されている。
  • ネットワークのトラフィックの増加や通信速度が低下する。
  • 新しいサービスが追加され、従来のサービスが削除される。
  • ファイル共有などのネットワークリソースへのアクセスができなくなる。
  • アプリケーションが動作しなくなり、ファイルにアクセスできなくなる。
  • 不明なレジストリキーが追加されている。
  • インターネットエクスプローラーのホームページが許可なく変更される。

注意: : マルウェアや脅威についてはさまざまなバリエーションがあるため、全ての感染活動の全ての特徴を列挙することはできません。 上記のような症状がない場合でも、感染が疑われる場合は全ての予防措置を取ることをお勧めします。 DATファイルを最新にし、オンデマンドスキャンを実行するかコマンドラインスキャナでシステムをスキャンして下さい。 感染を取り除くことができない場合、下記の手順にて疑わしいファイルを探し、検体として McAfee Labs に送信して下さい。

原因

新しいウイルスが日々発見され、ヒューリスティックスキャンで新しいマルウェアを検知する能力は向上していますが、ウイルスの作者が検知を避けるために使うテクノロジが変化し続けています。
コンピュータはさまざまな方法で感染します。 下記のような例が挙げられます。

  • 信頼できないウェブサイトからファイルやドライバをダウンロードする
  • フロッピーやUSBデバイスからファイルをコピーする
  • 不明な疑わしい送信元からのメールを開く
セクション A- テクニカル サポートに連絡する前の基本的なチェック

最新のDAT およびエンジンがインストールされていることを確認

最新の DATは、以下の Web サイトからダウンロードできます。

  1. 次のリンクをクリックして Web サイトに移動します:
    http://www.mcafee.com/japan/downloads/
  2.  [ウイルス対策]項目の、[ウイルス定義ファイル/エンジン(SuperDAT)ダウンロード]をクリックします。
  3. 同意事項に同意します。
  4. DATs タブを選択します。
  5. 言語を選択し、####xdat.exe をクリックします。#### は DAT のバージョンです。
  6. ファイルをハード ディスクに保存します。
  7. 最新の DAT およびエンジンで最新の状態にするマシン上でこの実行ファイルを実行します。

最新の DAT およびエンジンの両方をインストールする場合は、 Super DAT をダウンロードして実行します。

  1. 上記のWeb サイトで、[ウイルス対策]項目の、[ウイルス定義ファイル/エンジン(SuperDAT)ダウンロード]をクリックします。
  2. 同意事項に同意します。
  3. SuperDATs タブを選択します。
  4. 言語を選択し、sdat####.exeをクリックします。 #### は DAT のバージョンです。
  5. ファイルをハードディスクに保存します。
  6. 最新の DAT およびエンジンで最新の状態にするマシン上でこの実行ファイルを実行します。
     

最新の McAfee 製品の Patchがインストールされていることを確認

最新の製品パッチがインストールされていることを確認します。
場合によっては、ウイルスを削除するために製品パッチ、DAT およびエンジンを組み合わせてアップデートする必要があります。
インストールされている McAfee製品の Patchを確認する方法は製品により異なりますが、主な方法は次のいずれかです。

  • Windows システム トレイの McAfee アイコンを右クリックして、[バージョン情報…] を選択します。
  • 製品コンソールを開いて [Help (ヘルプ)]、[About (バージョン情報)] の順に選択します。

下記のサイトにて製品の最新の Patch の確認できます。

KB51109: マカフィー製品でサポートされる環境(マスターリスト)

最新のMcAfee製品及び、Patch や ドキュメントはサービスポータルの「ダウンロード」から入手できます。

Microsoft セキュリティ パッチが適用されていることを確認

セキュリティの脆弱性が利用されることを防ぐには、最新の Microsoft セキュリティ パッチをインストールしている必要があります。

オンアクセスおよびオンデマンド スキャンで次の項目が検出されるように構成されていることを確認

  • スパイウェア
  • 潜在的に不要なプログラム (PUP) ファイル
  • ヒューリスティックが有効
  • バッファ オーバーフロー保護 (BOP) が有効
  • Global Threat Intelligence (GTI) が有効

注意: 上記のオプションの一部は VirusScan Enterprise でのみ使用できます。

すべてのスキャン設定を有効にしてオンデマンド スキャンを実行

プライマリ アクションを [Clean] に設定し、すべてのファイルにオンデマンド スキャンを実行します。
これを構成する手順については、製品ガイドを参照してください。

何も検出されない場合、ベータ DAT を使用してオンデマンドスキャンを実行

ベータ DAT を使用することで、以前には検出されなかった感染ファイルを識別できます。

    1. 次の URL からベータ DAT をダウンロードします。
      http://www.mcafee.com/apps/mcafee-labs/beta/dat-file-updates.aspx
    2. ベータ DAT を適用します。
      SuperDAT win_xdatbeta.exe を使用してベータDAT を適用します。 適用に失敗する場合は、 強制実行オプションにて実行する必要があります。
    3. アップデートした後に、製品によってすべてのドライブまたはデータベースにオンデマンド スキャンを実行します。

      状況によりコマンドラインスキャンを利用する必要があります。 詳細は下記をご参照ください。
      KB75478 – コマンドラインスキャンを実行する方法
セクション B- GetSusp の実行

McAfee GetSusp を利用すれば、テクニカルな知識がなくとも、McAfee 製品で検知できないマルウェアのファイルを検体として収集することができます。

  1. 最新バージョンを下記より入手します。
    http://downloadcenter.mcafee.com/products/mcafee-avert/GetSusp/GetSusp.exe
  2. GetSusp.exe を実行します。
  3. Preferences をクリックして、Online モードまたは Offline モードを選択します。  Online モードを利用するためには、Global Threat Intelligence (GTI) が利用できる必要があります。 GTIの動作確認方法については下記を参照下さい。
        AR09052801 – Artemis の動作確認方法
        VE08122501 – 社内DNS環境下でのArtemisテクノロジの運用について
  4. E-mail アドレスを入力して McAfee Labs からの受領通知を受け取る設定を行います。Online モードの場合、 疑わしいファイルは自動的に McAfee Labs に送信されます。
  5. Scan をクリックして、スキャンを開始します。 ソフトウェアライセンス許諾を承認します。
  6. 一般的に GetSusp のスキャンは 3-5 分程度かかります。 スキャン終了後、レポートが表示されます。
  7. gsusp_XXXXXX_XXXXXX.zip ファイルが作成されます。 Offline モードの場合や zip ファイルが 5MB 以上の場合は McAfee Labs に自動的に送信されないため、zip ファイルを手動で McAfee Labs に送信する必要があります。

GetSuspの詳細については下記をご参照ください。
KB80181 - GetSusp FAQ
PD22668 - GetSusp Product Guide

セクション C- 疑わしいファイルを手動で検索する場所

一般的に、ウイルスはレジストリの一部にエントリを追加して、システム起動時にウイルス プログラムを起動するようにします。 不審と思われるファイルおよびフォルダ名の検索場所は次のとおりです。 手動で疑わしいファイルを検索する場合は、下記を参照します。

MsConfig (システム構成)

  1. [スタート] – [ファイル名を指定して実行] にて msconfig と入力して実行します。
  2. スタートアップタブを選択します。
  3. win.ini 及び system.ini のエントリを確認できます。

スタートアップグループ

  • \documents and settings\all users\Start Menu\Programs\Startup
  • \winnt\profiles\all users\Start Manu\Programs\Startup

レジストリの場所

一般的に、ウイルスはレジストリの一部にエントリを追加して、システム起動時にウイルス プログラムを起動するようにします。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows T\CurrentVersion\Windows\AppINit_DLL
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\[SID]\Software\Microsoft\Windows\CurrentVersion\Run

Malware specific:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools
HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlongon

ウイルスによく利用されるディレクトリ

C:\
C:\%windir%\
C:\%windir%\system32\
C:\%windir%\system32\drivers
C:\%windir%\system32\dllcache
%TEMP%
%ALLUSERSPROFILE%\Start Menu\Programs\Startup
%userprofile%\local settings\temp
%userprofile%\application data
%userprofile%\local settings\application data
C:\Program Files\
C:\temp
C:\Recycler
C:\Documents and Settings

Windows スケジューラ

スケジュールされたタスク、およびコマンド プロンプトで AT コマンドを使用したタスクでエントリを確認します。

構成ファイル

In.ini 内 (プログラムを実行またはロードする行)
Autoexec.bat
Config.sys

セクション C- ツールを利用して疑わしいファイルを特定する方法

いくつかのユーティリティは検体の調査に有効です。 ツールを利用して疑わしいファイルを検索するには下記をご参照ください。
KB80180 – McAfee Labs に送付する検体の特定に利用するツール

セクション D- テクニカルサポートに送信する情報

疑わしいファイルの収集

疑わしいファイルを特定できた場合、McAfee Labs まで検体を送付下さい。 全てのファイルはパスワード付 .zip ファイルに圧縮されている必要があります。 パスワードは “infected” (小文字) にします。 パスワード付 .zip ファイルの作成方法については下記のURL に記載があります。

MER ツールを実行し、McAfee 製品の情報を収集

Minimum Escalation Requirements (MER) ツールを実行して、McAfee 製品の情報を収集下さい。 MERについては、下記より入手が可能です。 実行後に作成される、.tgz ファイルをテクニカルサポートに送信下さい。
http://mer.mcafee.com

McAfee Labs への検体の送信

収集した検体は McAfee Labs へ送付下さい。 検体を McAfee Labs へ送信する方法については下記をご参照下さい。

マカフィーテクニカルサポートへのお問い合わせ

テクニカルサポートにお問い合わせされる場合は、MERツールの実行結果と共に、McAfee Labs から通知された Analysis ID または Work ID を提示下さい。 検体を特定できない場合も、マカフィーテクニカルサポートまでお問い合わせください。

関連情報

検体の送付に関する情報

KB70157- Tools you can use to locate samples for submission to McAfee Labs
KB50388 - How to submit a virus sample to McAfee (when virus is not detected)
KB67411 - How to submit a possible false or incorrectly classified sample file to McAfee Labs
KB68030 - McAfee Labs にウイルスのサンプルを送信する方法
KB66642 - マカフィーの誤認への取り組みについて(McAfee Labs(旧:AVERT) False Positive Test Rig)

DAT ファイル

KB68061 - 複数のextra.DATを結合する方法(プラチナポータルサイト)
KB54996 - An EXTRA.DAT detects a virus but does not clean or repair the files
KB59164 - How to perform a forced installation of a SuperDAT file

コマンドラインスキャン

KB51141 - How to perform a command-line scan in Microsoft Windows
KB52229 - VirusScan Command Line Scanner 6.0.3 switches

EICAR

KB52865 - How to create a standard EICAR antivirus test file for use with McAfee AntiVirus products

SiteAdvisor

KB53371 - SiteAdvisor Enterprise Site Rating dispute resolution process
KB53423 - SiteAdvisor Site Rating escalation process

Global Threat Intelligence (Artemis)

KB53733 - Global Threat Intelligence File Reputation のインストール、およびポイント製品とGTI server の通信を確認する方法
 

以前のドキュメント ID

AR11093002

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

影響を受ける製品


Threat Prevention and Removal

Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.