増殖する不可解なウイルス

近場にレトロゲームセンターがオープンして大勝利状態の翔です。こんばんは。
まさか今になって「１９４３」だの「マジックソード」だの「レイフォース」だの「メルヘンメイズ」だのが思う存分遊べる環境ができるとは思ってもみませんでした。ありがたや、ありがたや。

さて、前置きとは全然関係無いんですが、最近でくわしたちょっと面白い現象について、ネット調べてみても意外と情報が少ないみたいなので、ここで簡単にまとめてみることにしました。

とあるエンドユーザー様からの問合せで、コンピュータにそれこそ山のようなウイルスが検出されるとのお問合せをいただいて様子を見に行きました。
確認してみると、なるほど確かに山のようなウイルスが検出されています。
場所はtempフォルダ内でDWH****.tmp（****はランダムな１６進数４桁だと思われます）というファイルが「Trojan Horse」として検出されています。
このファイル数が何と２万を超えているのです。

このＰＣはsymantecのアンチウイルスを使用しており、パターンファイルも随時更新して使用しているはずです。
１００や２００というのはたまに聞きますが、いくらなんでも５桁というのは極端な話だなと思いながら調べてみたら、どうもsymantec特有のもので以下のような状況になっているんだそうです。

ウイルス定義ファイル更新時に検疫フォルダをスキャンすると Auto-Protect で DWHxxxx.tmp が検出される
（symantecサポートサイト様）

流れ的には以下のようなものだそうです。
・なにかしらの引き金になるようなウイルスが検出されて検疫フォルダに隔離される。

↓

・アンチウイルスのパターンファイルが更新されるとDefWatchスキャンなる自動検索が動作する。

↓

・これが自身の検疫フォルダを検索する機能らしく、そこにファイルを見つけるとtempフォルダに作業用ファイルを作成する。

↓

・ファイルの変更を確認しているAuto-Protect機能が、このtempファイルをウイルスファイルと認識して検疫フォルダに隔離する。

↓

・パターンファイルが更新されるたびに以降繰り返し

簡単に言うとsymantecアンチウイルスの機能である「DefWatch機能」と「Auto-Protect」機能が互いにケンカをしているような状態になっていて、これがパターンファイルの更新のたびにウイルスファイルが増殖していくという怪現象を生み出しているんだそうです。

対処法としては簡単で、隔離されたファイルが消しても問題が無いようであれば検疫フォルダにあるファイルをばっさり消してしまえば解決します。
そもそもこの「DefWatch機能」というのが何のためについているのか良くわかりませんし、現象が発生したらこの機能を無効化してくださいとメーカー自ら言うのが、さらによくわかりませんが、こんな現象放置されたら何も知らないエンドユーザー様はびっくりしちゃいますので、メーカー様には早めに対応していただきたいなぁと思う次第であります。