イメージファイルの中のウィルス

締切済

質問者：getter2055
質問日時：2010/10/10 18:42
回答数：8件

イメージファイルの中のウィルス
iso等のイメージファイルの中にウィルス等のマルウェアが含まれているか、どのようにしたら見分けることが可能ですか？（イメージをマウントないしインストールした場合に感染するウィルス）

マウントしていない状態のイメージを直接、ノートン等のアンチウィルスソフトのスキャンで検出可能ですか？
それともマウントした仮想ドライブをスキャンすることで検出するしかないのですか？

よろしくお願いします。

通報する

この質問への回答は締め切られました。

質問の本文を隠す

回答 (8件)

最新から表示
回答順に表示

No.8

回答者： samtomsan
回答日時：2010/10/12 14:13

Kaspersky でNISの検証で使った試験用ウイルスファイルを入れたISOファイルをスキャンしてみました。

使用したKaspersky は試用版ですが、機能は製品版と同じだと思います。

結果は、ISOファイルを指定してスキャンしましたらウイルスファイルを検出しました。

使い慣れないので駆除されたかどうかまではログから読み取れませんでした。

従って、質問者の目的には合っているようです。

VBまで検証する余力はありませんでした、VBユーザの方、すみません。

- 0
- 件

通報する

No.7

回答者： samtomsan
回答日時：2010/10/11 22:40

e0_0e_OKさん、検証ありがとうございます。

Norton Internet Security 2001(以下NIS)でちょっと詳細に検証してみました。

先の試験用ウイルスファイルのダウンロードでは
ダウンロード時に検査・ダウンロード不可
eicar.com
eicar.com.txt
ダウンロード可
eicar_com.zip
eicarcom2.zip
eicar.lzh
eicar.rar
eicar.cab
eicar_zip.exe
eicar_rar.exe

ダウンロードしたファイルを検査した結果
NIS インサイトネットワークスキャン
eicar.cab　ファイル削除
eicar.lzh　ファイルは存在するが中の脅威を削除
eicar.rar　ファイル削除
eicar_com.zip　ファイルは存在するが中の脅威を削除
eicar_rar.exe　ファイル削除
eicar_zip.exe　ファイルは存在するが中の脅威を削除
eicarcom2.zip　ファイルは存在するが中の脅威を削除

結果として、直接使う com/txtファイルは即座に処理されるが、圧縮ファイルは明示的にスキャンした場合に処理されるということのようです。

VBでeicar_com.zipの脅威が見つからないというのは？ですね。

で、問題のISOファイルですが、NISをオフにして試験用ファイルを全て(com/txtも含めて)ダウンロードし、ISOファイルを作ってみました。

NISをオンにして検査した結果です。

・ISOファイルを指定して検査しても何も見つからない
・ISOファイルを展開した時に com/txtファイルは検出される
・展開したディレクトリ（ファイル）では全て検出される

NISでは展開した後にファイルを検査しないと検出されないという結果になりました。

NISもVBも rewritableさんが仰るところの「そのソフトは時代遅れの糞」のようです。

ただし、そうであっても上記の結果が判っていれば私には何らの問題もありません。

質問者の方には NIS は目的に合わないようです。

なお蛇足ながら、説明書に書いてあることがまったくできなくて質問したら、「それは仕様です」と社長名で印を押した回答（昔々の一太郎V3の頃の話ですが）をするジャストシステムのソフトは私は使いません。

- 0
- 件

通報する

No.6

回答者： e0_0e_OK
回答日時：2010/10/11 10:39

またNo.1 e0_0e_OK です。

No.5の続きです。

Virus buster2011 でチェックした結果です。

ダウンロード時には検出しませんでした。

そしてデスクトップに置いたファイルを右クリックして検査したところ、eicar_com.zip は脅威見つからず、eicar_com2.zipは１つの脅威を検出しました。

- 0
- 件

通報する

No.5

回答者： e0_0e_OK
回答日時：2010/10/11 10:16

No.1 e0_0e_OK です。

No.4の関連質問について検証の結果です。

KIS2011ではダウンロード時に検出しました。(eicar_com.xip 及び eicar_com2.zip いずれも)

なお、元々の質問者さんのお聞きになっているのはダウンロード時の検出ではなくて手元に存在しているファイルをマウント/解凍することなく検出可能か、とお聞きになっているのではないですか。例えばファイルを右クリックで検査するとか。

- 0
- 件

通報する

No.4

回答者： samtomsan
回答日時：2010/10/11 00:23

ANo.3回答者への質問で申し訳ありません。

> はい、出来ます。いちいち展開やマウントしないと検査できない対策ソフトがあったとしたら、そのソフトは時代遅れの糞です

ISOファイルはわかりませんが、Norton Internet Security 2011(以下NIS) では lzh/rarなどの圧縮ファイルは検出できませんでした。

圧縮ファイルのダウンロードはできます。コピーなどもできます。

解凍する時に検出され削除されます。

下記からダウンロードしたファイルの結果です。

http://www.eicar.org/anti_virus_test_file.htm

http://eazyfox.homelinux.org/Security/Security24 …

かってはNISに圧縮ファイルの中までスキャンする機能があったと思いますが（すでに忘れています）、2011では圧縮ファイルのスキャンのオン／オフの設定はありますが、オンにしてあってもダウンロードとかコピーでは検出されず、解凍の時に検出され削除されます。

ウイルスバスターは使っていませんので、ウイルスバスター　オンラインスキャンを試してみましたが、オンラインスキャンではフルスキャンは行なわないようで、検出できませんでした。

できましたら Kaspersky Internet Security 2011 で試して結果を教えていただけないでしょうか。

- 0
- 件

通報する

No.3

回答者： rewritable
回答日時：2010/10/10 21:31

>ノートン等のアンチウィルスソフトのスキャンで検出可能ですか？

はい、出来ます。いちいち展開やマウントしないと検査できない対策ソフトがあったとしたら、そのソフトは時代遅れの糞です。

私は個人的にKaspersky Internet Security 2011が断然おすすめですね。仮想デスクトップを使用すればたとえイメージファイルをマウントしようとどうしようと感染することはありませんので。また、ガンブラーパターンの攻撃もまったく平気ですし。このソフト、2011製品の中ではダントツの高性能。

http://www.justsystems.com/jp/products/kaspersky …