質問

2008年06月14日 12時50分
  • ウイルスの検知について

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

お世話になります。
長文になり恐縮ですが皆様の意見・見解をお聞かせください。

2台のクライアントPC、AとBがあります。
AとBに中身が同じCD-ROMを読み込ませたところ、Aだけウイルスを検知し
Bは検知しませんでした。Aは隠しファイルの表示は有効で、Bは無効です。
CD-ROMの中身はPPTファイル、データの入ったフォルダ、AutoRun.inf、
EXPLORER.exeの4つがありました。ただし、AutoRun.inf、EXPLORER.exeは
隠しファイルです。
動作としましては、A・Bともに数分程度(同じくらい)CD-ROMドライブに
CD-ROMを挿入しPPTファイルを開きました。間もなくしてAはウイルスを
検知し、Bは検知しませんでした。ウイルスの検知場所はCD-ROMでした。
PPTファイル、フォルダ、AutoRun.infをスキャンしても何も検出されず、
EXPLORER.exeをスキャンするとウイルスを検知します。

皆様にお伺いしたいのは、何故Aは検知してBは検知しなかったのかという
点です。Aのウイルス定義ファイルは最新のものであることは
確認済みですが、BはPCの運用上稀にしか起動しませんので、
Bは定義ファイルが古かった可能性があります。
補足としてウイルス対策ソフトの仕様で、CD-ROMを挿入してもCD-ROMを
スキャンしな事、PC起動時においてもウイルスの隠れやすい場所しか
スキャンしない事(CD-ROMドライブはスキャンしない)が分かっています。
また、CDの自動実行を設定しているAutoRun.infは記述に漢字などが
含まれており不完全なものである可能性があります。

ウイルス対策ソフトのサポートのやり取りの中で検知した理由、
検知しなかった理由として以下のような理由が絞られてきました。
□検知した理由□
・ウイルス対象ファイルであるEXPLORER.exeを何らかの形で
実行してしまった。
・WindowsがC:\WINDOWSの中にあるexplorer.exeとCD-ROMのなかにあった
EXPLORER.exeを間違って実行してしまった。
(EXPLORER.exeはOSによって頻繁に呼び出されるファイルであるため)

□検知しなかった理由□
・定義ファイルが古く、ウイルスに対応するものでなかった。
・定義ファイルが破損していて検知しなかった。
・システムリソース不足のためPCに負荷がかかり、ウイルス対策の
サービスが不安定になったり、停止していた。

Aの検知した理由がウイルス対策ソフトの自発的な検知でないことが
分かった以上、Bの理由が定義ファイルに起因することも多少残しつつも、
メインの理由が定義ファイルに起因するという説明ではシナリオ的に
おかしくないでしょうか?

長文になりすぎて分かりづらい部分もあるかもしれませんが、
皆様の意見・見解をお聞かせ願います。

2件の回答があります

回答

CDROMから検出となっていることから、検体があるんですよね。
問題なければ、両方のパソコンからウィルス対策ソフトのみを削除し
導入、同じパターンファイルを導入し、再テストを行ってみたら如何
でしょうか。
1.両方ともウィルスを検出するのであれば、Bのシステム(パターン
  ファイル含む)自体が壊れている。。或いは、パターンファイルが
  古かった。
2.両方ともウィルスを検出しなければ、Aのシステム(パターンファ
  イル含む)自体が壊れている
3.現在のようにAとBで結果が異なるのであれば、ウィルス対策ソフト
  が原因というよりも、ベースとなるOS自体の問題が起因している
と切り分けられると考えます。

2008年06月14日 21時32分
rem

回答

質問されて時間が経過しているので参考になるか判りませんがコメントさせていただきます。
まず、Aで検知したウィルスのウィルス名が判っているかどうかがキーとなると思います。
もし、判っているのであればそのウィルスがどのバージョンの定義ファイルから対応しているか判ります。そのバージョンの定義ファイルのリリース時期と
Bの以前の立ち上げ時期(イベントビューアで確認可能)と比べれば定義ファイルが古いためかある程度、予想がつきます。
それと、ウィルス対応ソフトによると思いますが、私が使っているソフトでは定義ファイルは3世代くらいDISKに保存されています。
以前の定義ファイルのバージョンを調べることもできるかもしれません。

以上参考になるか判りませんがコメントでした。

2008年06月19日 06時10分

あなたもコメントしましょう!