2019年9月4日

株式会社Doctor Web Pacific

最近、Dr.Webの利用者の一人がソーシャルメディアで、アンチウイルスは無用であり、同時に70件ものアンチウイルスでVirusTotal上のファイルをスキャンするか、Dr.Web CureIt!を使用することを選択することをお勧めしました。 これを行ったことによるシステムのパフォーマンスには影響しません。 残念ながら、この購読者だけがこのような方法を考えているわけではありません。

悪意のあるプログラムがどのように拡散して動作するのか、また、どのようにそれらを無力化できるのかをほとんどの人が理解していないため、このような見解が存在します。 今回はこれについて調べました。

最近のすべてのアンチウイルスは、常時バックグラウンドで動作し、システム変更の追跡と、新たな脅威に迅速に対応している常駐モジュールを備えています。 たとえば、Dr.Webには、90年代以降ファイルモニターであるSpIDer Guardが装備されています。 それには正当な理由があります。

このような常時制御は、手動で開くすべてのファイルを手動でスキャンする必要があるユーザーを助けるだけでなく、最も新しくリリースされた悪意のあるプログラムの排除を容易にします。 Preventive Protectionは常に稼働しており、アプリケーションの動作を分析し、システムファイルへのアクセスを制御しているため、脅威が発見されたらすぐに対応ができます。

もちろん、私たちはDr.Web CureIt!をとても誇りに思っています！ しかし、何よりも、それはシステムが既に危殆化した後にしばしば使用される緊急治療ユーティリティです。

Dr.Web CureIt!が使えるかどうか見てみましょう! システムが感染するのを防ぐために単独でダウンロード、または起動したすべてのファイルをスキャンするために実行したとしましょう。 システムをきれい(正常な状態)に保つのに役立ちますか? いいえ、それにはいくつかの理由があります。

理由#1：
悪意のあるコードはシグネチャベースの検出を回避するように変更される可能性があり、スキャナは脅威を露呈させることができなくなります。 常駐のアンチウイルスモジュールがシステムで実行されている場合、悪意のある活動を発見するための他のメカニズム（ヒューリスティック分析など）が有効になります。

理由#2：
システムが感染するためには、それを使用している人がファイルを使って何らかの操作を行う必要は必ずしもありません。 マルウェアは、脆弱性を悪用することによってコンピューターに潜入することができます。 それがワームの働きです。 WannaCryを覚えていますか？ トロイの木馬は、ユーザーが自分のコンピューターでそれを実行する必要はありませんでした。それは脆弱なマシンのためにネットワークをスキャンし、そしてユーザーの介入なしでそれらを感染させることができるからでした。 常駐しているDr.Webアンチウイルスモジュールは、パッチを当てられていない脆弱性を介して、私達の顧客のコンピューターの感染を防ぎました。

ワームの他にも、Webサイト上には偽のスクリプトが存在し、ユーザーが何も気づかないようにするための他の多くの秘密のマルウェアの展開ルーチンが存在します。

「たぶん、あなたは正しい」 とユーザーは言うかもしれません。「しかし、アンチウイルスユーティリティでコンピューターをスキャンすることは、これらの脅威を露出させ、そして無効化させます!」

確かにそうかもしれませんが、その時までにマルウェアがすでに感染したシステムで多くのことを成し遂げているかもしれません。 結局のところ、それは通常、黙って動作するので、ユーザーは何も気づくことができません。 さらに、悪意のあるプログラムの中には、不要になったモジュールを削除することで自分のトラックを隠すものがあります。

そして、あなたが遭遇したマルウェアが、あなたが危殆化したサイトを訪れている間に、あなたのCPUを熱くするだけのマイニングスクリプトであることが判明したなら、それは幸運です。

一方、暗号化ランサムウェアは、ほんの数秒で何千ものファイルを暗号化します。 そして、あなたがアンチウイルスユーティリティを立ち上げる頃には、それはすでに遅すぎているかもしれません。

個人情報とパスワードを盗むトロイの木馬についても同じことが言えます。 アンチウイルススキャナはおそらくマルウェアを検出するでしょうが、それまでにはあなたのパスワードはすでにアンダーグラウンドフォーラムで販売されているでしょう。

そしてVirusTotalや他の類似サイトではどうでしょうか? もちろん、それらは非常に便利です。 しかし、悪意のあるプログラムは、必ずしもファイルとして実装されているわけではありません。 それらは、RAM、ブートセクタ、またはUEFIファームウェア内のコードの一部としてのみ存在できます。 そして、ファイルがなくては、コンピューター上で感染を発見することは不可能かもしれません。では、ファイルがない場合、VirusTotalに何をアップロードさせますか。

#anti-virus #Dr.Web