私的メモ(他人は見るべからず)

自分用に思いついたことやインターネット上の記事などをメモっています。(著作権どうなる?)皆さん見ないでくださいね。

最新ウイルス一覧

2005年07月29日 | ウイルス

ウイルス名危険度
(企業)危険度
(個人)対応
DAT発見日
(米国日付)
New RootKit低低454405/07/27
CouponBar.drN/AN/A454305/07/22
Adware-DigitalNamesN/AN/A454105/07/21
W32/Sdbot.worm.gen.bx!60416低低454105/07/22
W32/Mytob.eu@MM低低454105/07/21
W32/Kelvir.worm.ea低低453805/07/19
W32/Kelvir.worm.dz低低453805/07/19
ICE Virus Mobile Phone HoaxN/AN/AN/A05/07/15
W32/Gael低低453605/07/15
W32/Reatle.gen@MM低低453605/07/15
Downloader-ACZ低低453605/07/14
QlowZones-25低低453605/07/14
QLowZones-24低低453605/07/14
QUrl-4低低453605/07/14
W32/Gael.worm.a低低453405/07/13
SymbOS/OneHop.A低低453405/07/13
Spam-SPM低低453205/07/11
SymbOS/Cadomesk.A低低453305/07/11
SymbOS/Bootton.A低低453305/07/11
SymbOS/Skudoo.A低低453305/07/11
W32/Kelvir.worm.dw低低453305/07/11
W32/Kelvir.worm.dq低低453105/07/07
PWS-Jginko低低453105/07/08
SymbOS/Mabtal.A低低453205/07/08
W32/Mytob.el@MM低低453205/07/09
StartPage-HJ低低452605/06/17
LunLoad低低452705/07/04
Exploit-JavaPrxy低低452705/07/04
Downloader-ACS低低452805/07/04
W32/Alemod.dll低低451705/06/20
W32/Alemod低低451705/06/20
Generic Backdoor.m!114688低低451505/06/24
StartPage-HK低低451805/06/21
Downloader-ACG.dldr低低452005/06/22
Adware-FasterXPN/AN/A452005/06/22
PWS-Banker.y低低451805/06/21
PWS-Banker.y!hosts低低451805/06/21
PWCrack-FinderN/AN/A451905/06/20
Joke-CrazyTypingN/AN/A451705/06/17
Spy-Agent.d低低450805/06/07
Downloader-ABS低低451205/06/13

ウイルス駆除ツール「スティンガー」

2005年07月29日 | ウイルス
Stinger(スティンガー)
ウイルス駆除ツール「スティンガー」は、特に流行しているいくつかのウイルスを検出・駆除するツールです(フル機能のワクチンソフトではありません)。スティンガーには、プロセスのスキャン検査やデジタル署名入り定義ファイル、検査パフォーマンスの最適化など次世代スキャン・エンジン技術が採用されております。
ダウンロード
ファイル		 駆除できるウイルス
Stingerv2.5.4
2005/05/03発行

簡易マニュアル		 W32/Anig.worm, W32/Bagle, Exploit-DcomRpc, Exploit-LSASS, Exploit-MS04-011, IRC/Flood.ap, IRC/Flood.bi, IRC/Flood.cd, PWS-Narod, W32/Sdbot.worm.gen, BackDoor-JZ, BackDoor-ALI, BackDoor-AQJ, BackDoor-CFB, Backdoor-CHR, Downloader-DN.a, IPCScan, NTServiceLoader, PWS-Sincom.dll, W32/SQLSlammer.worm, W32/Blaster.worm, W32/Bropia.worm, W32/Bugbear@MM, W32/Deborm.worm.gen, W32/Dumaru, W32/Elkern.cav, W32/Fizzer.gen@MM, W32/FunLove, W32/Klez, W32/Lirva, W32/Lovgate, W32/Korgo.worm, W32/Mimail, W32/MoFei.worm, W32/Mumu.b.worm, W32/Doomjuice.worm, W32/Mydoom, W32/Nachi.worm, W32/Netsky, W32/Nimda, W32/Pate, W32/Sasser.worm, W32/SirCam@MM, W32/Sobig, W32/Sober, W32/Swen@MM, W32/Yaha@MM, W32/Zafi, W32/Zindos.worm, Bat/Mumu.worm
Stinger2.4.5.1for ePO 2.5x and 3.x
2004/11/22

簡易マニュアル		 W32/Anig.worm, W32/Bagle, Exploit-DcomRpc, Exploit-LSASS, Exploit-MS04-011, IRC/Flood.ap, IRC/Flood.bi, IRC/Flood.cd, PWS-Narod, W32/Sdbot.worm.gen, BackDoor-JZ, BackDoor-ALI, BackDoor-AQJ, BackDoor-CFB, Backdoor-CHR, Downloader-DN.a, IPCScan, NTServiceLoader, PWS-Sincom.dll, W32/SQLSlammer.worm, W32/Blaster.worm, W32/Bropia.worm, W32/Bugbear@MM, W32/Deborm.worm.gen, W32/Dumaru, W32/Elkern.cav, W32/Fizzer.gen@MM, W32/FunLove, W32/Klez, W32/Lirva, W32/Lovgate, W32/Korgo.worm, W32/Mimail, W32/MoFei.worm, W32/Mumu.b.worm, W32/Doomjuice.worm, W32/Mydoom, W32/Nachi.worm, W32/Netsky, W32/Nimda, W32/Pate, W32/Sasser.worm, W32/SirCam@MM, W32/Sobig, W32/Sober, W32/Swen@MM, W32/Yaha@MM, W32/Zafi, W32/Zindos.worm, Bat/Mumu.worm

上記以外のウイルスの駆除ツールはこちら

FAQ
Q: Stinger で検出・駆除できるウイルスはどうしたらわかりますか?
List Viruses ボタンを押すと対応ウイルス一覧が表示されます。これはスキャン結果とは全く関係ありません。
Q: スキャン結果をログファイルに保存するにはどうしたらいいですか?
File メニューをクリックし、Save report to file を選択して下さい。
Q: 感染しているのに、Stinger が検出しませんでした。どうしてでしょうか?
Stinger は特定のウイルスしか検出・駆除できません。
Q: Stingerを起動中に利用できるコマンドラインのパラメーターはありますか?
あります。STINGER.EXE の /?スイッチを実行中に、以下のパラメーターが表示されます。
/ADL - 全てのローカルドライブをスキャンする
/GO - スキャンを始める
/LOG - スキャン後にログファイルを保存する
/SILENT - グラフィックインターフェイスを表示しない
Q: Stinger に関するサポートはどうしたら受けられますか?
Stinger はサポート対象アプリケーションではありません。AVERT はこのプログラムに対して保証いたしません。
Q: Stinger がウイルスを検出しましたが、修復しませんでした。どうしてでしょうか?
おそらく Windows のリストア(システムの復元)機能が感染ファイルをロックしているせいです。Windows ME/XP ユーザーはスキャンの前に こちら をご覧ください。
Q: Stinger 起動時に、" unable to load scan engine, virus data files not found" というメッセージが表示されました。これはどうしてでしょうか?
これは、Stinger パッケージのあるフォルダの中のすべてのファイルを解凍しないで Stinger.exe を起動しようとしているか、パッケージに含まれている .dat ファイルと同じフォルダで Stinger.exe を解凍していないかのどちらかです。
Q: Stinger 起動時に、" Unable to load scan engine, support DLL not found." というメッセージが表示されました。これはどうしてでしょうか?
6. と同様です。
Q: Stinger に関してのフィードバックはどこに送ればいいですか?
Virus_Research_Japan@mcafee.com にお送り下さい。

ウイルス用語集

2005年07月29日 | ウイルス
- あ -

悪質ソフトウェア:
 ウイルス、ワーム、トロイの木馬など、許可されていない活動 (被害を及ぼす活動や望ましくない活動)を行うよう、意図的に作成されたプロ グラム。

亜種:
 オリジナルのウイルスを改変したもの。ウイルスの改変は、文字の変更や、 2、3のコードラインの追加・削除といった操作と同様に、簡単にできる。別のウ イルス作者によって改変され、しだいにダメージを引き起こすようになるウイル スも珍しくない。

アドウェア:
 エンドユーザーのPCに広告を表示するために作られたプログラムで  す。正当なプログラムであり、自己複製能力はありません。ユーザーのブラウザ 操作の癖のモニタリングに基づいていることが多く、またプログラムの無料使用 権と引き替えに(つまりシェアウェアコンセプトに則って)なっている場合も  多々あります。

暗号化:
 データ、コードまたはファイルを変換すること。処理(解読)されない限 り、暗号化された情報を読み取ったり、アクセスしたりすることはできない。ウ イルスによっては、検出を回避するために、ウイルスコードを暗号化して隠蔽す るものがある。また、発病ルーチンの一部として、システム上のコードまたはデ ータを暗号化(変換)するウイルスもある。
 イン・ザ・ワイルド:ウイルスが流布している状態を意味する。現在、約250件 のウイルスが確認されている。
ウイルス:
 コンピュータメモリまたはディスク上にあるプログラムに自身を付着 して、次々にプログラム間で繁殖するソフトウェアプログラム。ウイルスには、 データに被害を加えたり、コンピュータをクラッシュさせたり、メッセージを表 示したりするものがある。また、感染しても全く活動しないウイルスもある。
 ウイルスデマ:実際には存在しないウイルスに対して警告を発し、感染の不安を あおる電子メール。
裏口(バックドア):
 ユーザのシステム全体またはその一部にアクセスできるよう  に、プログラム開発者によってプログラムに組み込まれる機能。

上書き型ウイルス:感染ファイルを上書きするウイルス。ファイルを意味のない データで上書きして、そのデータを破壊するウイルスを示すことがある。

- か -

起動ディスク:
 コンピュータを起動するための特殊な起動ファイル(非表示)やそ の他のプログラムが格納されているディスク。通常、ブートディスクは、オペレ ーティングシステムとそのバージョンに固有のものである。標準ユーザが使用で きるブートディスクには、フロッピブートディスク、障害回復ブートディスク、 ブート可能CDなど、さまざまな種類がある。ほとんどのアンチウイルスプログラ ムはハードディスクにうまくアクセスできたときに、正常に動作するため、感染 コンピュータからウイルス駆除を行うときは、ブートディスクを使用する必要が ある。ハードディスクにアクセスできないと、アンチウイルスプログラムはウイ ルスを検出して、駆除することができない。

コンパニオン・ウイルス:
 他のプログラムに付着しないウイルスプログラム。プロ グラムの実行規則(実行時の優先順位)を利用して、正規プログラムと同じ名前 を使用して、ウイルス自身を正規プログラムに関連付ける。このタイプのウイル スは、スポーニング型(Spawning)と呼ばれることがある。

誤認:新種のウイルス、または未知のウイルスを検出するときに使用するヒュリスティックスキャン。ヒュリスティックスキャンを実行すると、大量の誤り検出や誤りフラグが見られることが多い。ヒュリスティックスキャン中にフラグが立つと、ウイルスに感染したと思うユーザがいるが、フラグは誤り検出の場合が多い。ただし、フラグが立ったら、システムを調べてみる必要はある。

- さ -
サービス拒否:
 コンピュータ、サーバ、およびネットワークを対象としたアタック。単独のネットワークまたはインターネットに接続しているシステムから実行される命令コード、あるいはホスト上で直接実行される命令コードによって、作為的または偶然に起きる副次的アタック。このアタックにより、ターゲットは使用不可になるか、停止する。

シグネチャ:
 ウイルスコード内のユニークな一連の文字および数値。
シグネチャファイル:さまざまなウイルスシグネチャのデータベース。ウイルス駆除の際に検出された文字を比較するときに使用されるリファレンス。シグネチャファイルには「最新DATファイル」(VirusScanで使用されている)など、さまざまな名前がついている。最新のシグネチャファイルをダウンロードまたは購入して、できるだけ新しいテクニックを用いて、コンピュータを効果的に保護する必要がある。
自己暗号化ウイルス:ウイルスの存在を隠すために自己暗号テクニックを使用するウイルス。自己暗号型ウイルスは、自身をウイルスパターンではなく、ファイル内のデータのように見せかけることがある。これを「ステルステクニック」という。
自己解凍型ウイルス:実行すると、自身で解凍するファイル。ディスクスペースを節約し、転送時間を短縮するために、インターネットを介して転送されるファイルのほとんどは圧縮されている。自己解凍プログラムには、ウイルスやトロイの木馬が含まれている場合がある。圧縮ファイルのスキャンテクニックは、最新のアンチウイルスプログラムで採用されている比較的新しいテクニックであるため、自己解凍型ファイルのスキャンには有効である。自己解凍型ファイルをダウンロードするだけなら、ウイルスには感染しない。新しい自己解凍型ファイルを実行する前には、必ずスキャンすること。

システムハング:
 オペレーティングシステムが完全に機能しなくなること。プログラムに障害が発生すると、通常、エラーメッセージか診断メッセージが表示される。システム全体がダウンした場合、このようなメッセージは表示されず、入力が拒否される(キーストロークやマウスクリックが無視される)。最悪の場合、システムを完全にオフにしないと、システムを再起動できなくなる。
ジョークプログラム:ウイルスではないが、ハードドライブをフォーマットしたり、CDの挿入口を自動的に開閉したりして、ユーザを困らせるプログラム。
ステルス:検出を回避するために多種多様なテクニックを1つ以上使用するウイルス。ステルス型ウイルスは、システムポインタと情報を転送することによって、実際に感染プログラムファイルを改変せずに、ファイルに感染することがある。他のステルステクニックでは、オリジナルの未感染ファイルのサイズを表示することによって、増大したファイルサイズを隠蔽する。
スパイウェア:コンピュータの使用状況やブラウザ操作の癖などをモニターするために作られたプログラムです。正当なプログラムであり、自己複製能力はありません。打鍵履歴のモニタ、インターネット・ヒストリの追跡、秘匿性の高い履歴を調べる、また機密文書をアップロードするなどの機能をもつことがあります。

- た -

トリガ:
 ウイルスの作者が、プログラムに組み込んだウイルスの起動条件(日付、感染後の経過日数、キーストロークのシーケンスなど)。トリガイベントが起きると、ウイルスが起動して、次にその発病ルーチンも起動する。
トロイの木馬:有益な機能をもっているように見える(または、そう記述されている)プログラムだが、実際にはダメージを引き起こす発病ルーチンが含まれている。Trojan House(トロイの木馬)は、「Trojan」と省略されることが多い。トロイの木馬は自己複製しないため、テクニック面からみて、ウイルスには分類されない。
ドロッパ:
  起動時にウイルスを落とし込む(ドロップする)実行ファイル。ドロッパファイルは、起動されるとウイルスを作成して、ユーザのシステムに感染する。ウイルスコード(およびウイルス)は、ドロッパファイルが起動されないと作成されないため、ドロッパファイルをスキャンしても、ウイルスは検出されない。
トンネリング:標準インタフェースを回避して、ファイルに感染するウイルス。これにより、動作ブロッカによって検出されずに、ウイルスはファイルに感染できる。

- は -

発病ルーチン:
 ウイルス内のコードだが、検出回避自己複製機能の一部ではない。発病ルーチンコードによって、画面上に文字や画像が表示されたり、データが破壊または消去されたりすることがある。
パラスティック:ウイルスの繁殖をホストに依存しているウイルス。
ヒューリスティック:ウイルス特有の動作パターンやアクティビティを検索するスキャン方式。主要なアンチウイルスプログラムには、一般に普及している新種ウイルスまたは未知ウイルスを検出するためのヒュリスティックスキャン方式が導入されている。ヒュリスティックスキャンの短所として、誤り検出や誤りフラグを大量に出すことが挙げられる。
ファイル型ウイルス:自身をファイルに付着したり、自身をファイルに関連付けたりするウイルス。通常、ファイル感染ウイルスは、正規のプログラムファイルに自身を付着したり、プログラムコードを上書きしたりする。また、このウイルスは、物理的にファイルに付着するのではなく、自身をプログラムファイル名に関連付けるプログラムを指すこともある。

関連情報:
 上位ファイル感染ウイルス
ブートセクタウイルス:フロッピーディスク上にあるオリジナルのブートセクタに感染するウイルス。ブートセクタに保存されている情報は、ウイルス保護コードが起動する前にメモリにロードされるため、ブートセクタ感染ウイルスに感染すると、その被害は極めて深刻になる。「完全な」ブートセクタ感染ウイルスは、感染対象がハードディスクかフロッピディスケットかにかかわらず、ブートセクタにだけ感染する。ウイルスによっては、ディスクのタイプにかかわらず、ディスク上の最初の物理セクタに感染するものもある。

関連情報:
 上位マスタブートレコード/ブートセクタ感染ウイルス
ブートレコード:コンピュータのブート時に実行される最初の命令が含まれている、ディスケットまたはハードディスク上の領域。オペレーティングシステムをロードするためには、ブートレコードをロードしてから、起動しなければならない。ブートレコードに感染するウイルスは、ブートレコードを改変して、ウイルスのコピーを組み込む。コンピュータのブート時にウイルスプログラムが起動すると、通常、ウイルスはオペレーティングシステムがロードされる前に、自身をメモリにインストールする。

別名:
 代理または代替の名前。ウイルスによっては、コンピュータウイルスの命名には標準規則がないため、複数の名前を持つウイルスがある。
ポリモルフィック:ウイルスの内部構造や暗号メカニズムを変更することによって、検出を回避するウイルス。ポリモアフィック型ウイルスは、シグネチャフォームをスキャンするアンチウイルスソフトウェアによって検出されないよう、感染するたびにそのシグネチャフォームを変更する。ポリモアフィック型ほど高度ではないウイルスを「自己暗号型」という。

- ま -

マクロ:
 特定のアプリケーションまたはシステム内で自動的にタスクが実行されるように、ユーザが作成・編集して保存する一連の命令。マクロウイルスは悪性のマクロで、ユーザが不注意に実行すると、被害を及ぼしたり、自己複製したりする。
マスタブートレコード:ブートセクタ感染ウイルス: ハードドライブのマスタブートレコード、またはフロッピーディスケットのブートセクタに感染するウイルス。このタイプのウイルスは、システムハードウェアとオペレーティングシステムの間で動作することによって、下位レベルでシステムを制御する。システムがブートすると、ウイルス検出コードが実行される前に、MBR/ブートセクタウイルスがメモリにロードされる。
マルチパータイトウイルス:マスタブートレコード、ブートセクタ、およびファイルに感染するウイルス。
メモリ常駐: 他のプログラムが実行しているときに、コンピュータ上のアクティブなRAMに常駐するプログラム。アクセサリソフトウェアは、このタイプに分類されるものが多く、アクティビティ監査ソフトや常駐型スキャンソフトがある。ウイルスの多くは、メモリに常駐する。これは、アクティビティ監査ソフトがチェックするウイルス動作の1つ。

- ら -
リスク・アセスメント:
 ウイルス、ワーム、トロイの木馬による被害の程度を示す。この危険度は、発病ルーチンの重大度、報告されている被害件数、繁殖力といった、いくつかの要因によって決定される。

レジストリ:
 命令やその他の情報が格納されるデータデース。このデータベースは、値が設定されているキーに分類される。.INIファイルの代わりにレジストリを使用することが多い。ウイルスの作者は、このMicrosoft Windowsコンポーネントを使用することが多い。

ロジック爆弾:
 全く活動していないトロイの木馬が、特定の条件が満たされたときだけ動作するもの。

- わ -

ワーム:テクニック面から見て、ワームはウイルスには属さないが、一般に電子メールまたはIRC(Internet Relay Chat)を介して繁殖する。

- A - Z -

AVERT:
 Anti-Virus Emergency Response Team(アンチウイルス緊急対策チーム)の略。
COMファイル:COMはcommand(コマンド)の略。コンピュータ上で実行される命令が格納されているファイル。COMファイルは、DOSベースシステム用のファイルで、一般に、EXEファイルよりも動作が速い。ウイルスがCOMファイルに感染することはよくある。COMファイルが実行されると、ウイルスも起動して、自身をメモリにロードする。

DDOS (分散サービス拒否攻撃):
 「サービス拒否」アタックを開始するために、コントロール プログラムが「コミュニティ ネットワーク」設定で使用するプログラム。DDOSプログラムは、アタックを行うために、コントローラ プログラムから命令を受け取る。このアタックにより、ターゲットは使用不可になるか、停止する。

FDOS (氾濫型サービス拒否):
 アタックの性質はDDOSと同じだが、他にアタック構造のコンポーネントがない点で特異だと言える。FDOSプログラムによってアタックが行われると、通常、ターゲットは使用不可になるか、停止する。
Hole(システムメモリの「ホール」):DOSが起動すると、640キロバイト境界以下のメモリ領域が割り当てられる(この領域は、情報を保存するために使用される)。割り当て済みメモリには、欠落している部分がいくつかある。この割り当てられなかった(未使用の)部分は、システムメモリの「ホール」(穴)となる。また、DOSがプログラムをロードするとき、そのプログラムに割り当てるメモリ容量を丸めるため、ホールが生成されることもある。たとえば、DOS上で、1025バイト(1キロバイト + 1 バイト)のメモリが必要なプログラムをロードすると、そのプログラムに対して2キロバイトのメモリが割り当てられるため、1023バイトが未使用になる。この部分を「ホール」という。
INIファイル:プログラムの動作中に実行される命令または設定が保存されているファイル。ウイルスの作者は、WIN.INI、SYSTEM.INI、WININIT.INIを利用することが多い。

OS:
 オペレーティングシステム。OSには、DOS、Windows 3.X、Windows 95、Windows 98、Windows NT、Windows 2000、Windows ME、Sun/OS、Unix、Macintosh 6.X、Macintosh 7.X、Macintosh 8.X、Macintosh 9.xなどがある。
Spawning(スポーニング型):他のプログラムに付着しないウイルスプログラム。プログラムの実行規則(実行時の優先順位)を利用して、正規プログラムと同じ名前を使用して、ウイルス自身を正規プログラムに関連付ける。このタイプのウイルスは、「コンパニオン型」ともいわれる。
Terminate-and-Stay-Resident(終了後常駐型(TSR)プログラム):他のプログラムがシステム上で実行しているときに、メモリ上でアクティブなプログラム。TSRの例としては、VShield、DOSベースのマウス、CD-ROMドライブなどがある。

VBS:
 Visual Basic Scriptingを利用した新しいウイルス繁殖方式。IE5またはOutlook 98以上を使用していなければ、特に問題はない。
ZIPファイル:通常、ファイル名に拡張子.zipが付いた圧縮ファイル。Zipファイルには、ウイルスが含まれている場合がある。圧縮ファイルを解凍するときは、アンチウイルスプログラムを使用して、そのファイルにウイルスが含まれてないかスキャンすること。

ZOOウイルス:
 ウイルス研究機関でしか見られないウイルス。一般には流布していない。



- 0 - 9 -
16進数:Hex(16進)は、Hexadecimalの略。16を基数とする数の表し方で、Hexは6、decimalは10を示す。10以降の数値(10~15)は、それぞれA~Fとなる。16進数は、コンピュータプログラミングで使用される。

ウイルス対策

2005年07月29日 | ウイルス
ウイルス対策のヒント

ウイルスの検出と予防策
  1. 送り主が不明、または疑わしい電子メールに添付されているファイルは開かないようにしましょう。

  2. たとえ親しい友人や知人から送られたように思える電子メールでも、その内容に覚えがない場合は、添付ファイルを開かないようにしましょう。自己複製し、電子メールを媒介に繁殖するウイルスも存在するので、後悔することのないよう、本当にそのメールが友人や知人から送られたものであるか確認をとりましょう。

  3. 表題が不審なもの、思い当たるふしのないものについては、その電子メールの添付ファイルは開かないようにしましょう。どうしても開く必要のある場合は、開く前にハードドライブにそのファイルを保存するよう、常に心がけましょう。

  4. チェーンメールや迷惑メールは削除し、転送や返信はしないでください。これらはネットワークを妨害する迷惑なスパムと考えられています。

  5. 見知らぬ人から送られたファイルをダウンロードするのはやめましょう。

  6. インターネットからファイルをダウンロードする際は常に注意を払いましょう。そのサイトが合法で信頼できるものか確認します。さらに、サイト上でウイルス対策プログラムによるファイルチェックが行われているかどうかを確認してください。確信が持てない場合は、ファイルのダウンロードを中止するか、ファイルをフロッピーにダウンロードし、お持ちのウイルス対策ソフトウェアでチェックしてください。

  7. 毎月新たに発見される500種以上ものウイルスに感染しないためにも、お持ちのウイルス対策ソフトウェアは定期的にアップデートしましょう。少なくともウイルス記号ファイルのアップデートは必須で、製品のスキャンエンジンのアップデートが必要な場合もあります。

  8. 定期的にファイルのバックアップをとりましょう。ウイルスによってファイルが破壊されても、バックアップがとってあればコピーと交換ができます、バックアップコピーはワークファイルとは別の場所、できればコンピュータ上以外の場所に保存しましょう。

  9. 疑わしい場合は常に用心に徹し、ファイルのオープン、ダウンロード、添付ファイルの実行はしないことです。この警告の中で、実行しないということが最も重要なことです。製品販売店で、ご使用のOS Webブラウザ、電子メール用のウイルス対策製品をご確認ください。マイクロソフトのサイトhttp://www.microsoft.com/securityにおいてもご確認頂けます。

  10. ご自身の環境の中でウイルスではないかと思われる場合、その疑いがある場合には、http://www.mcafeeb2b.com/avert/avert-research-center/contact.aspに掲載されているAVERTまでご連絡ください。

ウイルスの危険度についての説明

2005年07月29日 | ウイルス
ウイルスの危険度についての説明


AVERT リスクアセスメント



目的と有用性
 AVERTリスクアセスメント(ARA)の主な目的は、一般のネットワーク上やお客様のサイト上に存在するウイルスがPCコミュニティ全体にどの程度の危険をもたらす可能性があるか見極めることにあります。これは、マカフィー社のお客様とPCユーザのコミュニティ全体に、ウイルスの現時点における感染リスクと潜在能力に関する情報を提供するという第2の目的にもつながります。

 この情報はユーザコミュニティにとって有益なものです。ネットワーク管理者やホームユーザは、ウイルスを防ぐ方法があるなら必要な対応を取りたいと考えている時、この情報によってその土台となるデータやアドバイスを得ることができるのです。



概要
 現在、ウイルス、亜種、トロイの木馬などの悪質なプログラムは60,000種にも昇ることが明らかになっています。この数は、ひと月あたり200~500ほどの割合で増加しています。AVERTは、新種ウイルス、亜種、トロイの木馬が発生した際にネットワーク管理者やホームユーザが適切な対策を取れるように、下記の基準に従いウイルスの脅威を高・中・低で格付けます。また、ウイルスに以下の特徴がある場合には監視リスト上にその名称を明示します。

 ・流布度が高い
・危険と思われる発病ルーチンを有する
 ・標的層が非常に広い

 ここでは、危険度を評価する方法や危険度の評価レベルの定義を説明します。また、例として、主要ウイルスの危険レベルを個々に示し、その防御方法を提示します。

 AVERTは、2002年5月4日からウイルスの危険度評価を行う際にユーザを企業レベルとホームユーザレベルで分けることにしました。AVERTが提供するウイルスやトロイの木馬などの悪質なプログラムの情報の中でこの区別を採用する予定です。

危険度の評価基準

ウイルスのリスク アセスメントを行う際、AVERTでは3つの評価基準を基にしています:
1. 流布度(ウイルスの繁殖度)
2. 発病ルーチンの危険度(感染ファイルを実行したときの影響)
3. 感染媒体の一般性(プラットフォーム、プログラム、システム環境が、一般的かどうか)

流布度は、McAfeeのウイルス対策ソフトを使用しているお客様がAVERTに届け出たウイルスやAVERTのウイルス研究者が一般のネットワーク上で検出したウイルスの件数を基準にしています。また、他のウイルス対策ソフトメーカーによるレポートも考慮に入れています。ウイルスが一般のネットワーク上で検出された時には、セキュリティにおける脅威は非常に深刻な状況にあるといえるでしょう。ウイルスの警告情報が出ているかどうかを知るには、流布度が一番有効な指標となります。流布度には以下の4つのレベルがあります。
流布度 趣意
最大 一般のネットワーク上でウイルスが検出され、比較的短い時間内(通常4時間以内)に20件以上の届出があった場合。ウイルスは急激に繁殖しており、危険度も高いことになるので、発生場所はあまり重要ではない。
大 一般のネットワーク上でウイルスが検出され、普通の平日に20件以上の届出があった場合。ウイルスの流布範囲は、1つの国や地域に限られる時もあれば、多数の国や地域にまたがる時もある。
小 一般のネットワーク上でウイルスは検出されたが、2~3日の間に届出が20件以内で、感染報告がまばらであった場合。
無 AVERTの研究員はウイルスの存在を確認しているが、感染の届出がない場合。ウイルスは一般のネットワーク上には存在しないと思われる。


発散ルーチンの危険度は、感染した場合に受ける被害の潜在性を基準にしており、金銭的な損害やデータの喪失などが含まれます。発散ルーチンの危険度は、以下のように分類してあります。

発病ルーチンの危険度の例:
発病ルーチンの危険度 例
損害は予測不可能 ウイルスが機密データを第三者に流出したり、ネットワーク全体を崩壊したりする。
損害は非常に深刻 ウイルスが知らないうちにデータを操作する。
損害は深刻 -ウイルスが大量のファイルを削除したり、ハードドライブをフォーマットしたり、フラッシュBIOSを削除したりする。
損害は中度 ウイルスが個人的なファイルを削除したり、一時的にコンピュータを使用不能にする。
損害は微小 ウイルスがテキストを偽造したり、音を発したりする。


感染媒体の一般性は、ウイルスの感染先となるプログラムやシステムを使用しているコンピュータユーザの数を基準にしています。標的になるプラットフォームやプログラムは一般的に入手可能で利用頻度の高いもので、ウイルスを繁殖させる媒体となる。感染媒体の一般性には以下の3つのレベルがあります。

プラットフォームの一般性:
一般性 プラットフォーム
極めて一般的 OS:Windows95、Windows98、Windows NT
アプリケーション:Word、Excel、E-mail、Newsgroups
一般的 OS:DOS、Mac-OS
アプリケーション:PowerPoint、Windows Scripting Soft(Visual Basic Script、Java Script用)
あまり一般的ではない OS:Unix、OS/2
アプリケーション:Access、Corel Draw (Corel Script)




 また、危険度を評価する際には、感染経路も考慮する予定である。現在、大量メール送信型のウイルスによって危険度の評価とその有用性は多少変化してきており、今後も変化していくでしょう。



リスク レベルの解説


AVERTは、ウイルスの潜在的な危険度に応じて、以下のリスクレベルを公表しています。

高(感染拡大中)

中(要警戒)

低(要注意)



注:低(要注意)はAVERTリスクアセスメントプログラムに新たに加わったリスクレベルです。これは、さらに早い段階で警告を発するシステムを提供するためのものです。

AVERTは、ウイルスの潜在的な危険度に応じて、以下のリスクレベルを公表しています。

高(感染拡大中)
 一般的に危険度が高いとされるウイルスとは異なり、このレベルのウイルスは非常に短い期間中にほぼ全世界で発生します。ほぼ例外なく大量メール送信によって繁殖するので、数時間で世界中に広がる能力を備えています。

 高(感染拡大中)レベルのウイルスの例

 ・W97M/Melissa
・VBS/Loveletter
・VBS/VBSWG(Anna)
・W32/Nimda

AVERTが推奨する対応策

 まず、緊急時に備えるプランを作成し、各部署間の通信経路と責任所在を明らかにしなければなりません。

 AVERTは、社内にある全てのコンピュータのウイルス対策ソフトをアップデートすることを強く推奨します。とりわけIT基盤のアップデートは重要です。

 AVERTは、管理者が緊急用ウイルス定義ファイル(EXTRA.DATファイル)や最新のウイルス定義ファイル(DATファイル)をダウンロードし、ゲートウェイやメールサーバ、ファイルサーバ、デスクトップに取り込むことを推奨します。(EXTRA.DATファイルには解説が付いています。)

ホームユーザについては、全てのマシンをすぐにアップデートすることを推奨します。






危険度が高のウイルスは一般のネットワーク上でかなり頻繁に検出されます。深刻な損害をもたらす発病ルーチンを有し、一般的なプラットフォームを使用した一般的なオペレーティングシステム上に急速に広がります。ウイルスによって非常に深刻な損害または予想不可能な損害が生じた場合、流布度が大や最大でなくても、リスクレベルは高となります。ウイルスを中(要警戒)に分類してから、高へと評価が変わるケースが多いです。

高レベルのウイルスの例

・Win95/CIH
・W97M/Thus
・VBS/Newlove
・W32/Naked

AVERTが推奨する対応策

まず、緊急時に備えるプランを作成し、各部署間の通信経路と責任所在を明らかにしなければなりません。

 AVERTは、社内にある全てのコンピュータのウイルス対策ソフトをアップデートすることを強く推奨します。とりわけIT基盤のアップデートは重要です。

 AVERTは、管理者がEXTRA.DATファイルや最新のウイルス定義ファイル(DATファイル)をダウンロードし、ゲートウェイやメールサーバ、ファイルサーバ、デスクトップに取り込むことを推奨します。(EXTRA.DATファイルには解説が付いています。)

 ホームユーザについては、全てのマシンをすぐにアップデートすることを推奨します。




中(要警戒)

危険度が中(要警戒)のウイルスは、明らかに流布するスピードが増大しており、発病ルーチンを有しているものです。深刻な損害をもたらすわけではありませんが、多く出回っているアプリケーション経由で一般的なシステム上に広がります。この危険度レベルは早い段階で警告を発するために設けたものです。「要警戒」とは、AVERTが、該当するウイルスのレベルは将来的に高になる可能性が強いと考えているため、他のウイルスよりも流布度に注意を払っているということです。

中(要警戒)のウイルスの例

・W32/Kriz.3863
・W32/Southpark
・W97M/Resume
・W32/Badtrans.b

AVERTが推奨する対応策

まず、緊急時に備えるプランを作成し、各部署間の通信経路と責任所在を明らかにしなければなりません。

AVERTは、社内にある全てのコンピュータのウイルス対策ソフトをアップデートすることを強く推奨します。とりわけIT基盤のアップデートは重要です。

AVERTは、管理者がEXTRA.DATファイルや最新のウイルス定義ファイル(DATファイル)をダウンロードし、ゲートウェイやメールサーバに取り込むことを推奨します。(EXTRA.DATファイルには解説が付いています。)

IT管理者は、ファイルサーバやデスクトップの脆弱性を見極め、その結果、必要があると判断した場合には対応策を取った方がよいでしょう。

ホームユーザについては、全てのマシンをすぐにアップデートすることを推奨します。






危険度が中のウイルスは、数人のMcAfeeのお客様やAVERTの研究者から報告が上がってきたものです。破壊的な発病ルーチンを有している可能性があり、一般的なプラットフォームやアプリケーション経由で感染することも考えられます。

中のウイルスの例

・W32/Ska (Happy99)
・VBS/Haptime
・Backdoor-Sub7
・W/32Hybris

AVERTが推奨する対応策

まず、緊急時に備えるプランを作成し、各部署間の通信経路と責任所在を明らかにしなければなりません。

AVERTは、管理者がEXTRA.DATファイルや最新のウイルス定義ファイル(DATファイル)をダウンロードし、ゲートウェイやメールサーバに取り込むことを推奨します。(EXTRA.DATファイルには解説が付いています。)

ホームユーザについては、全てのマシンをすぐにアップデートすることを推奨します。




低(要注意)

危険度が低(要注意)のウイルスは、危険度は低いと思われるものの、マスコミが注目しているか、今後注目される見込みがあるため、更なる観察が必要なものです。このレベルのウイルスはまだ一般的には検出されておらず、発病ルーチンもない可能性があります。この危険度レベルは、ただ情報として分類をするために設けたものです。

また、AVERTは流布度の高いウイルスの亜種を低(要注意)として分類することもあります。この場合、その亜種のオリジナルであるウイルスの注目度が高く、繁殖した記録もあるので、亜種についても今後注意が必要になる可能性があり、繁殖することも考えられます。

低(要注意)のウイルスの例

・VBS/Bubbleboy
・PalmOS/Phage.963

他のウイルス研究グループが低(要注意)

・W32/Maldai.e@MM
・W32/Zoher@MM
・W32/Updatr@MM

AVERTが推奨する対応策

通常、具体的な対応策は必要ありません。週に1度、定期的にウイルス定義ファイル(DATファイル)をアップデートすれば、ウイルスを十分に防御することができます。






危険度が低のウイルスは、まだ一般的には検出されておらず、発病ルーチンもない可能性があります。このウイルスはあまり出回っておらず使用しているユーザも少ないアプリケーションを標的にしていると考えられます。一般的なプラットフォーム上で実行できるかもしれないものの、あまり出回っておらず、使用しているユーザも少ないアプリケーションを標的にしている場合が多いものです。発散ルーチンの危険度の分類が損害は非常に深刻や損害は予測不可能であっても、危険度は低であると思われます。

低のウイルスの例

・W97M/JulyKill
・VBS/Anjulie
・W32/Shoho
AVERTが推奨する対応策

AVERTが推奨する対応策はありません。週に1度、定期的にウイルス定義ファイル(DATファイル)をアップデートすれば、ウイルスを十分に防御することができます。






この危険度レベルは、ウイルス情報内で危険度を評価する必要がない場合に使われます。いたずらメールにはトロイの木馬やウイルスの特性がなく、感染もしないので、危険度レベルは無として分類しています。ヒューリスティックスキャンの説明や、一般的なトロイの木馬やウイルスの説明も具体的な脅威性はないので、危険度は無としています。





危険度評価の更新データ

 ウイルスの危険レベルは、時間の経過に伴い低いレベルから高いレベルへ変わる可能性もあります。例えば、発生時には危険度が低でも、流布度が上がるにつれて中や中(要警戒)へ格上げとなる場合があります。中(要警戒)に分類していたウイルスは、その後、危険度が高に上がるケースがほとんどです。

 最終的には、ウイルスの流布度は下がり、危険度も格下げとなります。通常、危険度が高ではなくなったウイルスは、しばらくの間は危険度を中に据え置きます。

 危険度が格上げとなったウイルスの例

・IRC/Stages
・W32/SirCam
・W32/APost



Acronis True Image Personal

2005年07月29日 | ウイルス
「Acronis True Image Personal」は、大事なデータが入ったハードディスクを丸ごと保存できる、簡単バックアップソフトです。万が一のトラブルの際にも、Windowsを再インストールしたり、さまざまな設定やソフトのインストールをやり直す必要もなく、わずか数分で元の状態に戻せます。

Acronis True Image Personal

先進の高速バックアップ

「Acronis True Image Personal」で、Windowsの入ったドライブを、丸ごと保存しておけば、パソコンが深刻な事態に陥っても安心です。Windowsを再インストールし、さまざまな設定やソフトの導入をやり直す必要もなく、わずか数分で快適な状態に戻すことができます。

バックアップソフトと言うと、「MS-DOS」など専門的な知識が必要なものが多いですが、「True Image Personal」ならWindows上の指示に従うだけでバックアップが完了します。
 
バックアップしたデータをマウスでクリックしていくだけで、データの復旧ができます。CD-ROMにシステムデータを保存しておけば、万が一Windowsが壊れたときでもすぐに元通り。
 
他の作業をしながら、しかも高速にバックアップ
「Acronis True Image Personal」の優れたところは、Windowsの起動、ハードディスクのバックアップさえ、Windows上から、しかも通常作業をしながらできる点です。さらに、その所要時間が圧倒的に短くて済むことです。従来のように、バックアップ中の長い時間パソコンを使えないということがありません。また操作もウィザードに沿って進むだけなので、とても簡単です。
今まで不可能だったバックアップが
驚異的な速さで
バックアップに 10分57秒
Windows上で他の作業をしながらのそのWindowsを含む起動ディスクのバックアップ
復元はわずか 1分55秒

Windows 2000 SP4
Pentium4 1.5GHz/メモリ256MB/
ハードディスク37.25GB (ソースネクスト調べ) 
簡単にバックアップイメージから欲しいファイルを取り出せる
バックアップしたイメージファイルをWindowsの仮想ドライブとして認識させることができるので、バックアップイメージの内容を参照したり、個別のファイルごとに復元させることが可能です。

137GB以上の大容量ハードディスク対応、 アクロニスならではの画期的テクノロジー
Windowsを使用しながら バックアップできる最先端技術
Backup Archive Explorer
従来のバックアップソフトでは、Windowsの入っているパーティションは、Windowsを完全に停止させ、DOSモードで保存するしかなく、そのため長い時間がかかり、他の作業ができない、DOSで動作する周辺機器しか使えない、などの問題がありました。アクロニスは、データの流れを監視し、必要な時に一瞬だけシステムを停止させることにより、Windows上でのバックアップを可能にしました。しかも、バックアップファイルを読み取り専用のハードディスクとして使える、画期的な新機能を実現。復元することなく、すぐ必要なファイルにアクセスできます。
イメージの保存先として使用できるデバイス
●ハードディスク ●フロッピーディスク ●CD-R、CD-RW
●DVD-R、DVD-RW ●DVD+R、DVD+RW ●DVD-RAM
●ZIP、Jaz、MOなどのリムーバブルメディア
●IDE、SCSI、USB1.0 / 2.0、PCMCIAのインターフェイス
青字:保存にはライティングソフトが別途必要です
Windows、Linuxすべてのファイルシステムに対応
●Windows:FAT16、FAT32、NTFS対応
●Linux:Ext2、Ext3、ReserFS、Linux Swapパーティション対応

Acronis PartitionExpert Personal

1台のハードディスクを使い分ける

「アクロニス パーティションエキスパート パーソナル」は、ハードディスクに間仕切り(パーティション)を作るソフトです。1つのハードディスクを複数のドライブとして使えます。
すべてのパソコンに
万一の安全対策		 ご家族の共有パソコンに
プライバシーの確保		 ノートパソコンに
空き容量の調節		 マルチブート環境づくりに
複数OSの併存
  例えば21秒で1台のドライブを2つに
Cドライブ(55.89GB)に、50GBの新規パーティションを作成した際の所要時間
Mobile AMD AthlonXP 2400+ 518MHz、224MB、Windows XP Service Pack 1
「Acronis PartitionExpert Personal」の製品CDから起動してパーティション作成を実行。所要時間3回計測の平均。
2005年1月25日・ソースネクスト調べ
Windows が壊れてもデータは残る