Sophos Diagnostic Utility (SDU): マルウェア コマンドライン スイッチを使用する

  • 文章 ID: 116537
  • 更新日: 2014 4 07

Sophos Diagnostic Utility (SDU) には、マルウェアであることを示す重要なシステム情報を収集するマルウェアスイッチの機能があります。 

以下では、Sophos Diagnostic Utility (SDU) の実行方法と、その結果をソフォス テクニカルサポートへ送信する方法について説明します。

実行方法の動画 (英語)

Sophos Diagnostic Utility を実行する

注: マルウェアスイッチは、コマンドラインから SDU ツールを実行する場合にのみ使用できます。

  1. SDU のインストールファイルをダウンロードします。
  2. 「スタート」-「ファイル名を指定して実行」の順にクリックして cmd.exe と入力し、Enter キーを押します。
  3. 以下のコマンド入力して Enter キーを押します。
    • 32 ビット コンピュータ用: cd "C:\Program Files\Sophos\Sophos Diagnostic Utility"
    • 64 ビット コンピュータ用: cd "C:\Program Files (x86)\Sophos\Sophos Diagnostic Utility"

  4. 注: SDU インストーラが使用されていなかった場合、場所は以前に SDU が解凍された場所になります。

  5. 以下のコマンド入力して Enter キーを押します。
    • sducli.exe -malware

SDU ファイルを見つける

「スタート」-「ファイル名を指定して実行」の順にクリックして %temp%\SDU と入力し、Enter キーを押します。すべての Sophos Diagnose Utility の圧縮ファイルはこの場所にあります。作成された最新のファイルを使用するようにしてください。

SDU ツールを使用して悪意のあるサンプルファイルを検出する

SDU の圧縮ファイルには、マルウェアの検出に役立つ複数の XML ファイルとテキストファイルが含まれています。 

XML ファイルとテキストファイル以外にも、SDU ツールは Sophos Anti-Virus log SAV.txt も収集し、このファイルにはコンピュータ上の現在および過去のすべての検出アイテムが表示されます。

注: マルウェアの可能性がある疑わしいファイルは、解析のために SophosLabs に提出する必要があります。

以下は SDU ツールによって収集される一部のファイルの一覧で、各ファイルに関する簡単な説明も記載されています。

ログファイル
説明
SAV.txt 検出内容を一覧するソフォスのログファイル 
REG-Mal-Runkeys.xml 
マルウェアの一般的なロードポイントの一覧 
SDU-WMIC-Startup.txt 
マルウェアの一般的な起動場所とその内容 
SDU-WMIC-Process.txt 
実行中のプロセスとそのパスの一覧 
SDU-Sysinfo-NetStat.xml 
開放されているポートと、そのポートを使用しているプロセスの一覧 
SDU-WMIC-Startup.txt 
Windows のスタートアップエントリの一覧 
SDU-StartMenu-Startup.xml
Windows のスタートアップメニューの内容 
ホスト 
Windows ホストファイル 
ネットワーク   
Windows ネットワーク (LMHost) ファイル 

悪質なプログラムを特定する上で役立つヒントを以下に記載します。

  • ファイル名はランダムに生成されている可能性がある (Etbu3fw.exe など)。検索エンジンを使用して信頼できる情報を確認します。
  • ファイル名は、インストール場所としては異常な Temp フォルダ (C:\Documents & Settings\[Username]\Temp に解決する %Temp%) などに見つかる。
  • ファイルにアイコンが表示されなかったり、ファイルのプロパティにある作成ベンダーやファイルの情報がわずかしか記載されていない。
  • ファイル名がセキュリティーや Windows に関連付けられているが、認識されるアプリケーションではない。
  • SAV.txt にファイルは SAV によってアクセスできなかったことが表示されている。
  • ファイルが他のエンドポイントにも同様に読み込まれているかを確認する。ファイルがどのように実行されたかをレジストリで確認してください。

 
詳細情報が必要な場合やご不明の点がある場合は、 テクニカルサポート までご連絡ください。

Rate this article

Very poor Excellent

Comments