今回は、トレンドマイクロのブログで何度かシリーズとなっているウィルス検出時の対応をまとめます。

まずはアンチウィルスソフトでウィルス検出したときのログの見方や判断基準について記載されている、２つの記事をまとめてます。

すぐ役立つ！ウイルス検出時の対処法 検出ログからの危険度判断１

blog.trendmicro.co.jp

ウィルス検出したときにまずやることは？
・検出ログの確認で危険度の高い検出を特定する
　重要なのは、「検出ファイル名とフルパス」、「検出種類」、「処理結果」
・同じコンピュータで日時の近い処理は１つの検出に対する処理の流れと判断
・「検出種類」は、リアルタイム検索とマニュアル検索
・「処理結果」は、隔離、削除、駆除、アクセス拒否、DCSなど
・「処理結果」で失敗していれば、不正プログラムが活動していると考えられる
　マニュアル検索による場合は、以前から存在していたので他の不正プログラムが考えられる
・「検出種類」、「処理結果」から不正プログラムの侵入のどの段階にあるかと現在までの活動状態について推測が可能となる

 すぐ役立つ！ウイルス検出時の対処法：検出ログからの危険度判断2

blog.trendmicro.co.jp

「検出ファイル名とフルパス」が語る、検出時点での不正プログラムの状態

※解説：注目すべきファイルパス
・Windowsフォルダ「c:\Windows」
・Windowsシステムフォルダ「c:\Windows\System32」
・アプリケーションフォルダ「c:\Program Files」
・ユーザーフォルダ「c:\users\<ユーザー名>\」。Windows XPでは「c:\Documents and Settings\<ユーザー名>\」
・インターネット一時ファイルフォルダ「<ユーザーフォルダ>\Local Settings\Temporary Internet Files\」
・メーラー、インスタントメッセンジャーのテンポラリフォルダ
・リカバリフォルダ「C:\RECOVERY\」。Windows XPの場合、「C:\RESTORE\」

例えば、不正プログラムは実行され活動を開始すると、ほとんどの場合自身または他の不正プログラムのコピーを任意のフォルダに作成し、自動起動の設定を行います。この「コピーを作成するフォルダ」からの検出だった場合、すでに不正プログラムが活動を開始し、コピーを作成した段階であると推測できます。

「危険なウイルス検出」の条件まとめ

ここまでがウィルス検出に関する記事。

この後、端末特定や対処など、IRに関連するような記事になってます。

それは次回書きたいと思います。

では。