オンアクセス検索でブロックされるファイルのサンプルを取得する

  • 文章 ID: 17327
  • 更新日: 2014 7 14

検出されたアイテムのサンプルを送信しようとすると、オンアクセス検索によって送信が阻止されます。サンプルを送信しようとした場合に、アクセス拒否や、ファイルにデータが含まれていないことを告げるエラーが表示されます。

この文章では、提出されたサンプルがオンアクセス (リアルタイム) 検索によって検出され、ブロックされる過程を説明します。

ソフォス脅威解析センターでマルウェアについて説明内容を確認します。マルウェアのタイプが「W32 実行可能ファイルのウイルス」であったり、復旧方法の指示がPE ウイルスの駆除方法を指定している場合には、対応する指示に従ってファイルの駆除を行います。

影響を受けるソフォス製品とバージョン

Sophos Anti-Virus for Windows 2000+
Sophos Anti-Virus for Mac OS X
Sophos Anti-Virus for Linux

サンプルの送信が必要になるシナリオ

サンプルの取得が必要になる理由は、以下のシナリオのいずれかである必要がありまます。

検出されたファイルが誤検出であると考えられる場合

解析のためにサンプルを Sophos Labs に送信すると、Sophos Labs では検出が正しいまたは誤っていたかを確認できます。サンプルを提出する際には、まず、ソフォス脅威解析センターで提供される注意事項に従ってください。http://www.sophos.com/ja-jp/threat-center.aspx

WindowsMac、または Linux の各 OS でのサンプルの取得方法については、以下の手順に従ってください。

検出されたファイルがクリーンアップ後に再度検出される場合

この場合には該当ファイルのサンプル提出は必要でない可能性があります。Sophos Source of Infection tool を使用してファイルの感染源を特定します。このツールを使用して、ローカルプロセスやリモートコンピュータから、どの場所に最初にファイルがドロップされたのかを監視できます。

SmaRT ガイドは、管理者であってもエンドユーザーであってもマルウェアへの対処において役立つ手順と情報を提供しています。

検出されたファイのクリーンアップが失敗する場合

クリーンアップの実行時にエラーメッセージが表示された場合、WindowsMac、または Linux の各 OS でのサンプルを取得するには以下の手順に従ってください。

サンプルを取得する方法

調査を必要とするファイルを最も安全な方法で収集するには、Sophos Anti-Virus スキャナを使用してファイルの移動と名前の変更を行います。この方法を使用することで、安全に除外を追加して Sophos Web サイトからサンプルの提出を行うことができます。

Windows 2000 以降

  1. Sophos Endpoint Security and Control を開きます。
  2. 「Sophos Anti-Virus と HIPS の環境設定」をクリックします。
  3. 「右クリック検索」をクリックします。
  4. 「クリーンアップ」タブをクリックします。
  5. ウイルス/スパイウェアに関するアクションを次のように設定します。 「次の場所に移動する:」
    • デフォルトの場所は以下です。
    • Windows Vista 以降: C:\ProgramData\Sophos\Sophos Anti-Virus\INFECTED
    • Windows 2000/XP/2003:C:\Documents and settings\All Users\Application Data\Sophos\Sophos Anti-Virus\INFECTED
  6. 「OK」をクリックします。
  7. 目的のファイルの場所に移動します。
  8. ファイルを右クリックして、「Sophos Anti-Virus で検索する」をクリックします。
  9. 検索が終了するまで待ちます。
  10. これで、ファイルを Sophos Labs のサンプル送信用サイトにアップロードできるようになりました。

注:

  • 検出されたファイルは INFECTED フォルダに移動され、誤って起動されないようにするためファイルの拡張子が変更されます。「INFECTED」フォルダは隠しフォルダです。設定によっては、隠しフォルダを表示する必要があります。 
  • サンプルが正常に提出された場合、ウイルス対策設定を元の状態に戻してください。

Mac OS X 10.5 以降

  1. ターミナルを開きます。
  2. 以下のコマンドを、必要に応じてファイルへのパスを検出されたファイルへのパスに変更して実行します。
    sweep [path to file] [path to another file] -rename
  3. これによって、検出されたファイルは拡張子は .infected に変更されます。

注: ソフォスの Web サイトからファイルをアップロードするとオンアクセス検索によってアップロードがブロックされるため、一時的に除外を設定する必要があります。

  1. Sophos Anti-Virus の盾のアイコンをクリックし、「環境設定を開く」-「オンアクセス検索」-「除外するアイテム」の順に選択します。
  2. '+' をクリックして、拡張子の変更されたファイルを参照し、除外リストに追加します。
  3. これで、ファイルを Sophos Labs のサンプル送信用サイトにアップロードできるようになりました。

Linux

以下の手順では、Sophos Anti-Virus の Web インターフェースがインストールされており、コンピュータがデスクトップ環境を使用していることを前提しています。

  1. ターミナルを開きます。
  2. 以下のコマンドを、必要に応じてファイルへのパスを検出されたファイルへのパスに変更して実行します。
    savscan [path to file] [path to another file] -rename
  3. これによって、検出されたファイルは拡張子は .infected に変更されます。

注: ソフォスの Web サイトからファイルをアップロードするとオンアクセス検索によってアップロードがブロックされるため、一時的に除外を設定する必要があります。

  1. Web ブラウザで http://localhost:8081 に接続します。
  2. 「除外」をクリックします。
  3. メッセージが表示されたら、Web インターフェースのユーザー名とパスワードを入力します。
  4. 「ファイルまたはディレクトリ指定 (ワイルドカード文字使用可)」のフィールドに以下の除外設定を入力します。
    *.infected
  5. これで、ファイルを Sophos Labs のサンプル送信用サイトにアップロードできるようになりました。

ソフォス Web サイトにファイルをアップロードする

オンラインフォームの送信内容は、SSL 暗号化技術で暗号化されるため、セキュアなデータ転送に関する法令・規定に準拠しています。

  1. Web ブラウザで https://secure2.sophos.com/ja-jp/support/contact-support/sample-submission.aspx を表示し、フォームへの入力を完了してください。
    注: できるだけ多くの詳細情報を記入いただければ、Sophos Labs はより迅速にファイルの解析を完了できます。
  2. 重要: 次のように詳細な情報を提供いただけると迅速に処理が進められます。「ステップ 2: インシデントの詳細」の「サンプルファイルの送信理由」フィールドに解析用に送信したファイルの詳細情報をできるだけ詳しくご記入ください。上記の「サンプルの送信が必要になるシナリオ」からの説明を参照してご記入ください。
  3. 「関連するログ/ルール/警告」の下には、Mal/Generic-L などの検出名を入力してください。
  4. ページの下部にある「次へ」をクリックします。「ステップ 3: ファイルの提出」が表示されます。
  5. 「Browse」をクリックして、提出が必要な移動されたファイルを参照します。
  6. 必要に応じて、「別のファイルをアップロードする 」をクリックします。
  7. 「送信」をクリックして、サンプルを SophosLabs に送信します。

ファイルの送信後

ファイルの送信が正常に完了すると、件名に固有のインシデント番号が記載されたメールが自動返信されます。SophosLabs が必要なすべての情報を取得して問題の状況を十分に把握・理解した場合、SophosLabs はリクエスト内容 (検出ファイルの追加/削除、クリーンアップ機能の強化など) とサンプルファイルを確認・解析します。注: お客様がさらに情報や進捗についての確認を必要とされる場合は、上記と同じ Web フォームを再度使用いただけますが、同一の件でお問い合わせいただく場合、最初の自動返信メールの件名に記載されていたインシデント番号を必ず記入してください。

 
詳細情報が必要な場合やご不明の点がある場合は、 テクニカルサポート までご連絡ください。

Rate this article

Very poor Excellent

Comments