Malware(マルウェア)の駆除方法
01.感染はどのようにして開始されるか???
02.どのようにして感染源を削除するか??
新聞、ニュース、インターネットの情報を通じてコンピュータウィルスやマルウェ
ア(悪意あるプログラム)について知ることとなります。コンピュータウィルスやマルウェア(悪意あるプログラム)はコンピュータに侵入し直ちに被害を発生
させる悪意あるプログラムです。一口に「マルウェアに感染といっても」感染のタイプは様々です。マルウェアを一般的なカテゴリで分類すると以下のようにな
ります。
Malware(マルウェア)= コンピュータに被害
を与えるために開発されたプログラムやファイルのことを指します。Malware(マルウェア)にはVirus(コンピュータウィルス)、Worm(ワー
ム)、Trojan Horse(トロイの木馬)を含みます。
この記事はウィルス、トロイの木馬、ワームに焦点を当てていますが、この情報は他のタイプのマルウェアの駆除にも有用です。此処では個別の感染についての
詳細は論じることはせず、マルウェアに感染した場合の駆除方法の概要について述べています。
たいていの場合、此処で述べられている方法で感染を上手に処理することが出来ます。しかし、駆除するのに特定のステップを踏まなければならないものも有り
ます。このようなマルウェアに関しては、此処では触れません。削除の方法に入る前にマルウェアについて理解することは重要です。
Adware(アドウェア)= 一般的にはポップアッ
プ広告を表示するタイプのプログラムです。ソフトウェアの操作画面に直接広告を表示するものや、Webブラウザに一定の間隔で広告ウィンドウを表示させる
ものなどがあります。
注意しなければいけないのは、全てのアドウェアがマルウェアではないということです。フリーソフトの中には収入を得るために広告を表示するものも少なくあ りません。 Dialler(ダイアラ)= 本来は、パソコンから インターネットに接続するために電話番号をダイヤルするためのソフトウェアでした。マルウェアとしてのダイアラは、勝手にアダルトサイトなどへ接続し高額 な情報料を奪取したり、国際電話にダイヤルさせる悪質なもののことをいいます。 Spyware(スパイウェア)= 侵入したコン ピュータ利用者の行動や情報を監視し、コンピュータ利用者の知らないうちにスパイウェア作成元にデータを送信するプログラム。スパイウェアはアプリケー ションインストール時に「使用許諾書」にインストールされると書かれていることもあります。使用許諾書をしっかり読めば防げる場合もあります。 Trojan Horse(トロイの木馬)= 無害で あることを装い実行させるように仕向けているプログラム。侵入後即時に発症するタイプと潜伏するタイプがあります。データの消去、ファイルの外部流出、他 のコンピュータへの攻撃などの破壊活動を行ないます。
また、侵入したコンピュータに裏口を開け、他のユーザがそのコンピュータを乗っ取るための手助けをするものもあります。トロイの木馬は他のファイルに寄生 することはありませんし、自分自身で増殖することもありません。
此処では、Trojan Horse としましたが、Trojan と略されることも多いです。 Virus(ウィルス)= 稼動時にコンピュータ上の 他のプログラムやファイルに感染するプログラム。多くの場合、ハードディスクのファイルを破壊したり、小さなウィンドウにジョークを表示したり、画面表示 をデタラメにしたりします。
ウィルスは侵入したコンピュータに居つくことが多く、他のコンピュータへの拡散能力は余りありません。 Worm(ワーム)= 起動時にコンピュータ上に発見 されたメールアドレスに対しマスメーリング技術を用いてで拡散(自己増殖)するか、既知のセキュリティホールを使用して遠隔地にある別のコンピュータにイ ンターネット経由での拡散(自己増殖)を企てるプログラム。 §1.感染はどのようにして開始されるか??? マルウェアはプログラムです。プログラムが開始されるためには起動されなければなりません。この点に関しては普通のプログラムもマルウェアも相違はありま せん。
大部分のマルウェアは、コンピュータを起動したときに、これらのプログラムを開始するようにWindowsのレジストリ中にエントリを作成しています。
不幸にしてWindowsというOSはプログラムの様々な起動方法を容認しています。このため、平均的なWindowsユーザがマルウェアを手動で発見す ることは困難な状況になっています。この状況を切り抜けるためにWindowsが起動したときに自動的に開始されるプログラムを検出するツールがありま す。AutorunsというツールでSysinternalsより提供されています。 AutorunsはWindows起動時に自動起動する様々なプログラムをリストアップします。大概、これらプログラムの大多数は安全です。そして、あな たが何が実行されているか認識できるようになるまでそして、それらをスタートアップで起動させる必要が無いと判断できるようになるまで、これらのプログラ ムは放置されるべきものです。 ここで、Autorunsをダウンロードし、実行してみてください。Autorunsは全てのWindowsバージョンに対応しています。
Autorunsダウンロードサイトは以下です。下の方に Download Autoruns and Autorunsc (150 KB) と記されていますので、これをクリックします。
http://www.sysinternals.com/Utilities/Autoruns.html ダウンロードしたら、Autoruns.exeを実行してください。そして、自動的に開始される全てのプログラムに注目してください。ここで、リストアッ プされたプログラムのチェックを外したり削除したりしてはいけません。
自動起動された多くのプログラムの概要を把握するために情報の検証を行わなければなりません。リストアップされた各プログラムの情報を十分に検証した後 に、次のステップに進みます。 §2.どのようにして感染源を削除するか?? マルウェアに感染していれば、今までの知識を基にして削除の段階に入ります。
(Step_2) セーフモードで再起動。
(Step_4) 起動画面で メニューの View をクリックして、表示される以下のオプションを有効にします。それぞれのオプションの上をクリックすればチェックマークが入ります。
(Step_6) リストに目を通し、削除したいファ イルを探します。ファイル名は"Image Path"列の下に表示されています。マルウェアは複数の始動エントリを作成するのが一般的です。同じファイルに関連付けられているエントリが一つ以上あ るかもしれません。
多くのマルウェアは公式のマイクロソフトのファイルと同じファイル名を使用することによって偽装します。そこで、マルウェアを削除するためにはマルウェア が偽装したファイルはどれなのか?? マルウェアが存在しているフォルダはどれなのか?? を明確にする必要があります。
この情報を得るためにPacman's Startup Programs ListやGoogle 等で検索してAutoruns.exeがリストしたファイルを一つ一つチェックしてください。
(Step_7) マルウェアに関連付けられたエント リを発見したら、次回の起動で再び動き出さないように削除します。
注意しなければいけないのは、全てのアドウェアがマルウェアではないということです。フリーソフトの中には収入を得るために広告を表示するものも少なくあ りません。 Dialler(ダイアラ)= 本来は、パソコンから インターネットに接続するために電話番号をダイヤルするためのソフトウェアでした。マルウェアとしてのダイアラは、勝手にアダルトサイトなどへ接続し高額 な情報料を奪取したり、国際電話にダイヤルさせる悪質なもののことをいいます。 Spyware(スパイウェア)= 侵入したコン ピュータ利用者の行動や情報を監視し、コンピュータ利用者の知らないうちにスパイウェア作成元にデータを送信するプログラム。スパイウェアはアプリケー ションインストール時に「使用許諾書」にインストールされると書かれていることもあります。使用許諾書をしっかり読めば防げる場合もあります。 Trojan Horse(トロイの木馬)= 無害で あることを装い実行させるように仕向けているプログラム。侵入後即時に発症するタイプと潜伏するタイプがあります。データの消去、ファイルの外部流出、他 のコンピュータへの攻撃などの破壊活動を行ないます。
また、侵入したコンピュータに裏口を開け、他のユーザがそのコンピュータを乗っ取るための手助けをするものもあります。トロイの木馬は他のファイルに寄生 することはありませんし、自分自身で増殖することもありません。
此処では、Trojan Horse としましたが、Trojan と略されることも多いです。 Virus(ウィルス)= 稼動時にコンピュータ上の 他のプログラムやファイルに感染するプログラム。多くの場合、ハードディスクのファイルを破壊したり、小さなウィンドウにジョークを表示したり、画面表示 をデタラメにしたりします。
ウィルスは侵入したコンピュータに居つくことが多く、他のコンピュータへの拡散能力は余りありません。 Worm(ワーム)= 起動時にコンピュータ上に発見 されたメールアドレスに対しマスメーリング技術を用いてで拡散(自己増殖)するか、既知のセキュリティホールを使用して遠隔地にある別のコンピュータにイ ンターネット経由での拡散(自己増殖)を企てるプログラム。 §1.感染はどのようにして開始されるか??? マルウェアはプログラムです。プログラムが開始されるためには起動されなければなりません。この点に関しては普通のプログラムもマルウェアも相違はありま せん。
大部分のマルウェアは、コンピュータを起動したときに、これらのプログラムを開始するようにWindowsのレジストリ中にエントリを作成しています。
不幸にしてWindowsというOSはプログラムの様々な起動方法を容認しています。このため、平均的なWindowsユーザがマルウェアを手動で発見す ることは困難な状況になっています。この状況を切り抜けるためにWindowsが起動したときに自動的に開始されるプログラムを検出するツールがありま す。AutorunsというツールでSysinternalsより提供されています。 AutorunsはWindows起動時に自動起動する様々なプログラムをリストアップします。大概、これらプログラムの大多数は安全です。そして、あな たが何が実行されているか認識できるようになるまでそして、それらをスタートアップで起動させる必要が無いと判断できるようになるまで、これらのプログラ ムは放置されるべきものです。 ここで、Autorunsをダウンロードし、実行してみてください。Autorunsは全てのWindowsバージョンに対応しています。
Autorunsダウンロードサイトは以下です。下の方に Download Autoruns and Autorunsc (150 KB) と記されていますので、これをクリックします。
http://www.sysinternals.com/Utilities/Autoruns.html ダウンロードしたら、Autoruns.exeを実行してください。そして、自動的に開始される全てのプログラムに注目してください。ここで、リストアッ プされたプログラムのチェックを外したり削除したりしてはいけません。
自動起動された多くのプログラムの概要を把握するために情報の検証を行わなければなりません。リストアップされた各プログラムの情報を十分に検証した後 に、次のステップに進みます。 §2.どのようにして感染源を削除するか?? マルウェアに感染していれば、今までの知識を基にして削除の段階に入ります。
- ・あなたのコンピュータはマルウェアに感染していると仮定します。
- ・「ある種のマルウェアを削除したいと思っている」と仮定します。
- ・感染したという認識の基に、稼動している自動起動プログラムは十分検証され不正なものとして発見されたと仮定します。
- ・スタートアップデータベースやGoogleで十分検証し感染について学び、削除することを望んでいるものと仮定します。
(Step_2) セーフモードで再起動。
- ・マルウェアを起動させないために必ずセーフモードで起動します。
- ・多くのマルウェアはマルウェアが起動されるためのキーを監視しています。もしも削除されるような状態があれば、自動的にスター トアップキーを変更して、削除されることを妨害します。
- ・マルウェアが削除を妨害するために設けた防御をかいくぐるためにセーフモードで起動します。
(Step_4) 起動画面で メニューの View をクリックして、表示される以下のオプションを有効にします。それぞれのオプションの上をクリックすればチェックマークが入ります。
- # Show AppInit DLLs
- # Show Explorer Addons
- # Show Services
- # Show Winlogon Notifications
- # Hide Signed Microsoft Entries
- # Verify Code Signatures
(Step_6) リストに目を通し、削除したいファ イルを探します。ファイル名は"Image Path"列の下に表示されています。マルウェアは複数の始動エントリを作成するのが一般的です。同じファイルに関連付けられているエントリが一つ以上あ るかもしれません。
多くのマルウェアは公式のマイクロソフトのファイルと同じファイル名を使用することによって偽装します。そこで、マルウェアを削除するためにはマルウェア が偽装したファイルはどれなのか?? マルウェアが存在しているフォルダはどれなのか?? を明確にする必要があります。
この情報を得るためにPacman's Startup Programs ListやGoogle 等で検索してAutoruns.exeがリストしたファイルを一つ一つチェックしてください。
(Step_7) マルウェアに関連付けられたエント リを発見したら、次回の起動で再び動き出さないように削除します。
- ・削除したいエントリの上で右クリックしDelete選択すれば、このスタートアップエントリはレジストリから削除されます。
- ・削除する前に表示されているリストを .txt 形式で保存します。上記操作でレジストリのエントリは削除されますが、マルウェアのファイルは残っています。次のステップで手動削除します。
- ・隠しファイルの設定になっている場合が有りますから、下のリンクにしたがって全てのファイルを表示する設定に変更します。
- http://www-6.ibm.com/jp/domino04/pc/support/Sylphd02.nsf/jtechinfo/SYJ0-0295AD6
- ・マイコンピュータかExplorerから検索等を用いて保存したテキストの削除したいファイルに辿り着き削除します。
- ・複数のマルウェアのエントリが発見された場合は、Step_7とStep_8の操作を各エントリについて繰り返します。