Bloodhound.Exploit.281

先日Norton AntiVirusのアイドルタイムスキャンにて、上記ウイルスが検出されました。
ファイル名はrecoverystoreとあり、元の場所は利用不可能と表示されていました。
詳細タブを見ると、「検疫済」「解決しました・処理なし」と出ておりますが、
特にこれ以上何かする必要はないのでしょうか？また、検疫とは何ですか？
教えて下さい。宜しくお願いします。

ちなみにOSはWindows Vista Business SP2です。

No.3 ベストアンサー 回答者： digitalian 回答日時： 2010/02/08 22:15

　Norton Internet Security 2010 ユーザーです。

　仮に今回のファイルが誤検出だとしても、Norton Internet Security 2010 のバージョンからは、ユーザーは何も操作をするところがなくなりました。

　Norton は数分毎にパルスアップデートにより、ユーザーから信頼できるファイルと、そうでないファイルの仕分けを常に行い、更新情報が自動的に受信されています。そこで誤検出と判定されたファイルは、自動的に検疫所から元に戻されます。（元に戻す作業は、いままで手動で行う必要があった。といっても、わずかワンクリックだったが）

　Norton の 2010 のバージョンからは、バックグラウンドやアイドル時に常にウイルススキャンを行っていますので、ユーザーは特に操作の必要はありません。時々、Norton は、ウイルス発見の報告をしてくるだけとなります。対処はすべて Norton まかせです。ウイルス定義の有効期限ごとに、ウイルス定義ファイルの更新を購入しているだけで、メンテナンスフリーです。

　今回も「検疫済」「解決しました・処理なし」との報告でしたので、通常の動作で異常はありません。ユーザーは何も対処する必要はありません。

この回答へのお礼

そーなんですか？Nortonは会社指定で入れているので詳しい事は全然知りませんでした。
それにしてもNIS2010ってすごいですねぇ？まさに手間いらずって感じ。
いい勉強になりました。有難うございました。

お礼日時：2010/02/09 08:24

No.2 回答者： ryu-fiz 回答日時： 2010/02/08 21:53

>この場合どのように対処したら良いのでしょうか？

もう一度繰り返しますが、私はノートン製品のユーザーではありません。ですから、ノートン製品の具体的な操作方法に関してはお答え致しかねます。その辺はご了承ください。

一応、そちらでなすべきことを幾つか挙げておきます。

１）検疫されたファイルの名称や存在場所を調べてください。検疫フォルダ内のファイル一覧の出し方は、ヘルプファイルやマニュアルなどに記載されている筈ですので、そちらを参考に。

ファイルが格納されているフォルダの名称やファイル名などから、そのファイルの素性が分かる場合があります。もし、明らかにバッファロー製品に関連しているようなら、誤検出の疑いが濃くなります。

２）ノートン製品以外が該当ファイルを悪質だと判断するかどうかによって誤検出かどうかの参考に出来るかと思われます。

そのためには、ノートン製品によって検疫されたファイルを、修復などを行わず一旦そのまま元の場所に復元しなくてはなりません。これに関しても、非ユーザーの私が具体的な操作をお教えすることは出来ません。ご自身でお調べください。

ファイルの復元が完了したら、VirusTotalにファイルを送って検査してもらってください。

http://www.virustotal.com/jp/

なお、Generic、Suspcious、Heuristicなどと付く検出は、疑わしいだけにとどまる暫定的な検出ですので、その辺は減じて判断の材料にしてください。それと、既にファイルが検査済みと出ていて、なおかつ過去の検査結果が表示出来ない場合は、現時点でそのファイルの安全性が十分だと判断されていると考えてください。

３）ご自身での判断が以前困難な場合は、利用可能なメーカーサポートをフル活用してください。こうした誤検出が絡むケースでは、対策ソフトのメーカー、誤検出の疑いのあるファイルに関連するアプリケーションなどのメーカー双方に事態を報告し、今後の対応について相談するのは当然の筋です。シマンテック、バッファロー双方のサポートに相談してください。

こんな感じです。具体性に欠ける回答になることは致し方ありませんが、私の立場ではこれが限界だと思います。

この回答へのお礼

とんでもありません。再度にわたる手厚いご指摘有難うございました。
NISユーザーではないとの一文がありながら、アホな質問してすみませんでした。
こんなアホな質問者に対して、現状でベストなご回答を頂き全くもって痛み入ります。
今後ともご指導のほどよろしくお願い致します。

お礼日時：2010/02/09 08:28

No.1 回答者： ryu-fiz 回答日時： 2010/02/08 18:19

まず…ノートン製品における検疫は、一般的なウイルス対策ソフトにおける『隔離』に当たります。

検疫とはなにか
http://service1.symantec.com/SUPPORT/INTER/navja …

一般に感染に関わる悪質なファイルは、元あった場所から移動させることによってシステム起動時の自動実行を阻止することが可能です。ウイルス対策ソフトの隔離機能は、対策ソフト側で用意した特定の領域に、特殊な形式で圧縮処理した上で移動させることによって危険なファイルを安全化します。つまり、現状でそうしたファイルは安全であると言えます。

ただし…個人的な意見として、少々気になることがあります。

隔離されたという"recoverystore"の素性を調べるためにウェブ検索した結果、こういう過去の質問を見つけました。

ＯＥＭのパソコンのシステムパーティションを安全に切るには？ - 質問・相談ならMSN相談箱
http://questionbox.jp.msn.com/qa1330761.html

上記質問中に出て来る『ＰＱ社のRecoveryStore』というのは、正直当方にはどういったものかよく分かりませんが…ひょっとすると、ある種の自動バックアップソフトに関係しているものなのでは、という印象を受けました。

もしその種のソフトをご利用になっているなどお心当たりがあれば、検疫されたファイルの素性を確認されたりした方がよろしいかと思います。誤検出の疑いがありますので。

当方はノートン製品のユーザーではありませんので、検疫済みファイルの確認方法などに関しては分かりません。ヘルプファイルなどから操作法はご自身でお調べください。

この回答へのお礼

迅速なるご回答有難うございました。検疫の意味が良く分かりました。

自動バックアップソフトの件ですが、まさにその通りです。
実はこの警告が出る直前に、Buffalo製Portable HDの再インストールを行っていたのです。
recoverystoreとはこのことだったんですね？この場合どのように対処したら良いのでしょうか？

お礼日時：2010/02/08 19:06