Symantec AntiVirusのウイルス感染時の動作

英語版XP、IEを使用してます。定義ファイルは最新。ウイルス感染時、
Action taken: Clean failed : Quarantine failed : Access denied

と出るんですが、ヒストリーに
The file was left unchanged.
と出る場合、AntiVirusは何もしなかったということでしょうか？？その場合、リアルタイムスキャンのメッセージを読み落とした場合、感染を放置したことになるのでしょうか？　この場合私は永久に削除をわざわざ、ヒストリーを開いて実行しています。この操作の実行は成功しているようです。ウイルスを検出しているのに、表面上、理屈に合った自動動作ができてないようにみえるのが非常に不快です。

ちなみに、このサイト今、一部、感染しているようです。ウイルス名は
Bloodhound.Exploit.52

No.5 ベストアンサー 回答者： ryu-fiz 回答日時： 2005/11/26 01:09

No.2です。

まず…検出されたExploitに関する報告をサイト管理者さんにしていただいたとのこと。発言を汲んでいただき、誠に感謝です。

>アクセスは遮断した、と隔離したとの意味の違いがよく分かりません。

『アクセスを遮断する』というのは、平たく言うと検出したウィルスの動作を止めた、ということです。
『隔離』はファイルそのものをもともと在った場所から移動させることであり、前者とは根本的に違います。屁理屈に聞こえるかも知れませんが…。

>いいかえれば、永久に削除をしなくても、システムの安全性は保たれているのでしょうか？プログラムメッセージに矛盾はないのでしょうか？

言葉が足りていなかったと思います。申し訳ありません。
『永久に』ということではなく、『取り敢えずは』という意味合いで

>システムの安全性は保たれてるかと思います。

という表現をさせていただきました。
ただし、検出されたものが実行されようとするに当たって、対策ソフトが検出即アクセス遮断という措置を取る事の繰り返しになるかと思いますから、プログラムメッセージが出た時点では逼迫した危険性というのはほぼ無い、という見方は出来るでしょう。

無論、そのまま放っておいて良い、ということではありません。
速やかに検出されたものを手動で削除する、あるいはファイルを削除可能な状態にしてから、改めて全体スキャンをかけて検出されたものを削除するといった処置は当然必要かと思います。

>たとえば、ユーザーに優しいインターフェイスを考えた場合、手動、自動でIEをいったん止めさせ、完璧にウイルスを除去するという手順は難しいのでしょうか？

現実としては難しいのだろうと思われます。

まず…私自身は対策ソフトの開発者でもメーカー関係者でも何でもないので、明確なお答えはできかねます。すいません。

ただ…現在市販されている、というかフリーウェアも含めて広く使われているウィルス対策ソフトは殆どこのような、要するに質問者さんからすると『不快な』仕様になってるのが現実ではあります。

やはりそこまで気の利いた仕様にするとなると、そのために仕組みが複雑になり、メモリ消費が激しくなったり、動作が遅くなったりが気になるようになるのではないかと思われます。

例えば今回の場合、IEを止める必要がある、という判断は我々ユーザーだとウィルスの検出場所などから総合的に判断可能ですが、ソフト自身がその判定を下すとなると、

・そのファイル自身がプログラムとして実行されてないか
・そのファイルを利用しているプログラムがないか
・あるなら、どのプログラムが利用しているか

を調べて判定する必要が出て来ます。そしてそれを極めて迅速に行わなければなりません。

そうした理由から、現時点ではそうした仕様を多くのベンダーは採用してないのでは、と思います。

全方向、限りなく自動に近い動作でウィルスに対応出来るのが理想でしょうが…現実は厳しいということでしょう。

事実、『特別な設定や操作が必要ない』『ユーザーの判断を必要としない操作』をセールスポイントとしている、ソースネクストのウィルスセキュリティの評価が一般的に見て決して芳しくないことからも、その難しさはうかがえるかと思われます。

この回答へのお礼

たいへん、丁寧な解説をありがとうございます。

>前者とは根本的に違います。屁理屈に聞こえるかも知れませんが…。

なるほど、分かります。感染場所は
\Local settings\Temporary Internet Files\Content.IE5
ですので、IEは同じファイルを参照する危険が（隔離されていないので）あるということですね。

>ただし、検出されたものが実行されようとするに当たって、対策ソフトが検出即アクセス遮断という措置を取る事の繰り返しになるかと

なるほど。

＞広く使われているウィルス対策ソフトは殆どこのような、要するに質問者さんからすると『不快な』仕様になってるのが現実ではあります。

みんな類似した状況であると教えていただき、安心しました。私の様なあまり詳しくないものが文句をつけたうえ、提案するのも小ざかしい限りなのですが、リアルタイムスキャンでウィルスが検出された場合：
１）自動でウィルス対策ソフトを立ち上げる
２）IEやメールの場合、すぐにプログラムを停止させるようにユーザーに指示する。
３）ウイルスを削除するかどうか訊き、可能ならその場で「ワンボタンで削除」できるようにする。システムに感染して削除できない場合は削除のやりかたを表示する。

くらいにはなって欲しいと思います。XPですと他のプログラムが利用しているとそもそもファイル削除できない感じがありますし、今回の場合は、IE停止後、すぐに削除することは可能でした。これなら、余計なメモリーもほとんどいらないはずです。

ご丁寧な解説をたいへんありがとうございました。

お礼日時：2005/11/26 03:45

No.6 回答者： ryu-fiz 回答日時： 2005/11/27 13:12

大変申し訳ありません。

私の回答の内容に重大な誤りがあったことが
分かりましたので、取り急ぎご報告致したく思います。

問題になるのは、"Access denied"の意味合いです。
私の回答では『ウィルスの動作を止めた』ということでしたが、
実際には『ノートンがウィルスに対して行ったアクセスが拒否された』と
いうことのようです。

要するに"Deny"という単語につくべき『てにをは』を間違って
解釈してしまったということです。

他の質問を参照中に次のページを見つけました。

http://okwave.jp/kotaeru.php3?q=1801964

この中での回答中に紹介されたシマンテックの情報ページをご覧ください。

http://service1.symantec.com/SUPPORT/INTER/navja …

これはまさしく、質問者さんの求めていた回答の内容そのものと思われますので
参考になさってください。

結局、『ウィルスは最初の警告出現時に処理されていなかったのではないか？』と
いう質問者さんの疑念はその通りであったということです。

なお、ウィルス対策ソフトが処理できないファイルの状態に関する私の説明、
および現行の対策ソフトがそうしたファイルに行える処理に限界があることなど、
他の記述に関しては大枠で間違ってないのではないかと思われます。

私の勉強不足で、ともすれば謝った事実認識を与えてしまう危険を
冒してしまったことをお許しください。本当に申し訳ありませんでした。

この回答へのお礼

ご丁寧なフォローをありがとうございました。恐縮であります。
恐らく、IEが使用中のためにアクセスできなかった可能性が高い感じですね。隠し属性いかんにかかわらず、IEを止めた後では削除できましたので。なぜ、ファイル書き込み前に止められないのか？という疑問は残りますが。もしかしてディスク上の情報しかプログラムの対象にならないのか？この辺はかなり専門的になってしまうのでしょう。
ありがとうございました。

お礼日時：2005/11/30 10:40

No.4 回答者： wowo77 回答日時： 2005/11/25 15:01

私の　ところにも　来ていますBloodhound.Exploit.52

とりあえず　気持ち悪いので

http://www.goo.ne.jp/　に問い合わせていますが・・・

No.3 回答者： simosaku 回答日時： 2005/11/25 14:12

うちにもBloodhound.Exploit.52様が今日だけで3回、

家庭訪問にきました。
ここのサイト、危険ですね。
ノートンアンチウィルスで撃退してるようですが、うちのPCでも撃退できてないようなメッセージです。
同じ現象ですね。

No.2 回答者： ryu-fiz 回答日時： 2005/11/24 23:56

>、ヒストリーに

The file was left unchanged.
と出る場合、AntiVirusは何もしなかったということでしょうか？？

基本的に、実行されているファイル並びに実行中のプログラムやシステムが利用しているファイルは削除も移動も出来ません。これはNortonが悪い訳ではなく、どうしようもないことです。
この場合、削除にも検疫にも失敗したが、アクセスは遮断した、というお話の動作は全く正常です。

具体的に言えば、IEでの閲覧中キャッシュからExploitコードが検出された場合は、当然その時点でコードを含むファイルにIEがアクセスしてますから、ファイルそのものはいじれません。
その際、悪質なコードの実行そのものは遮断されてるので、システムの安全性は保たれてるかと思います。

不快かも知れませんが…これは言わば『仕様』であり、どうしようもありません。またこういうケースに対応するためにも、定期的な全体スキャンは必要なのだとも思われます。

>ちなみに、このサイト今、一部、感染しているようです。ウイルス名は
Bloodhound.Exploit.52

出来るならここにこうして書くだけにとどめず、検出された際に開いていたページのURLをサイト管理者に報告するのが望ましいかと思います。
もし既にそうした処置を行われたのなら、申し訳ありませんが。

この回答へのお礼

ありがとうございます。

アクセスは遮断した、と隔離したとの意味の違いがよく分かりません。いいかえれば、永久に削除をしなくても、システムの安全性は保たれているのでしょうか？プログラムメッセージに矛盾はないのでしょうか？

＞不快かも知れませんが…これは言わば『仕様』であり、どうしようもありません

たとえば、ユーザーに優しいインターフェイスを考えた場合、手動、自動でIEをいったん止めさせ、完璧にウイルスを除去するという手順は難しいのでしょうか？

＞定期的な全体スキャンは必要なのだとも思われます。

私はしています。

＞サイト管理者に報告するのが望ましいかと思います。

おっしゃるとおりで、今、そのようにしました。

お礼日時：2005/11/25 01:08

No.1 回答者： nanasi0613 回答日時： 2005/11/24 23:34

http://www.symantec.com/region/jp/avcenter/venc/ …
Bloodhound.Exploit.52これですね。新種みたいですが・・・最新バージョンで対応できるのかな？