トロイの木馬やスパイウェアといった最近のマルウェアのほとんどは、通常、独立したプロセスとして活動しています。唯一の例外は、実行されるために、別のプログラムに添付されている古典的なウィルスです。しかし、ここでは、スタンドアロンのマルウェアに限って扱うことにします。現在実行中のプロセスについての知識があると、該当するマルウェアのプロセスを発見し、それを終了させて無効にすればよいだけなので役に立ちます。
1.1. 疑わしいプロセスをフィルタリングする
いずれかのプログラムを終了したり、削除する前に、それが正常なシステムの運用に必要な正統なソフトウェアではないことを確認する必要があります。そのために全てのプロセスをそれぞれ詳細に分析する必要があります。この時、以下の項目を確認してください。
−どこから来たプログラムか?
−誰が作成したプログラムか?
−そのプログラムはコンピュータ外部からの命令を受取るために TCP または UDO ポートを開いているか?
−そのプログラムは自動実行エントリによって自動的に起動されているか?
−そのプログラムは Windows のサービスとして実行されているか?
平均的なPCでは、通常、50個程度のプロセスが実行されているので、Windows が提供する標準ツールを使ってこれらの質問に答えていると、始めたそうそう退屈な作業になってしまいます。ここで a-squared HiJackFree が役立ちます。HiJackFree の利点は、マルウェアを特定するために必要とされる、まさにこれらの質問により早く回答してくれるという点です。
以下に、どのように動作するのかを説明します。
- まず、 [プロセス] セクションを開いて、ウィンドウ右上のボタンバーの最初にある [オンラインデータのリフレッシュ] をクリックしてください。HiJackFree は実行中のプロセス リストを、オンライン プロセス データベースと比較します。このオンライン プロセス データベースは無害なソフトウェア、悪意のあるソフトウェア、それぞれが通常使用するプロセスについての情報を格納しています。プロセス リストは緑、黄色、赤、白に色分けされます。
- 緑 はプロセス データベースで無害なソフトウェアのみに当てはまるプロセス名です。これらのプロセスは悪意のあるものではない可能性がかなり高いと考えることが出来ます。けれども、このことは、これらが無害なプロセスであると保障するものではありません。単に、同じ名前の悪意のあるプロセスがプロセス情報データベースに含まれていないということです。
- 黄色 はマルウェア、無害なソフトウェア両方で使用されているプロセス名です。この場合は、その項目をクリックして、下方にある [詳細ウィンド] の一番下の [オンライン情報] までスクロールします。これによりプロセス データベースで利用可能な全ての情報を閲覧することが出来ます。ここに記載されているプログラム パスとあなたのPCで実行中のプロセス パスを比較してください。ここではある程度、勘がものをいいます。例えば、以下のパス名でプロセスが実行されており、
c:\programs\knownmanufacturer\program.exe
プロセス データベースに program.exe. を含む項目が 2 種類あるとします。そのうち一方は、以下のパス名を持つ悪意のあるプロセスについての記述です。
c:\windows\program.exe
そして、もう一方は以下のパス名を持つ無害なプロセスについての記述です。
c:\programs\knownmanufacturer\version 2\program.exe
このプログラムパスは、無害であると定義されているプロセスとほんのわずか違っているだけなので、無害なプロセスだと考えることが出来ます。(この場合では、フォルダ名のバージョン番号が違っているだけです。)もし、製作者の名前から、そのプロセスが意図的にインストールされた無害なプロセスだと分れば、確信を持ってこのプログラムに "無害" と印をつけ、次のプロセスにすすみます。
- 赤 はプロセス データベースの中に、悪意のあるプログラムとしての情報しか含まれていないプロセス名です。これには二つの理由が考えられます。本当にマルウェアのプロセスである場合と、プロセス データベースに、そのプロセス名で無害なプロセスとしての情報が収録されていない場合です。どちらの理由にしても、このプロセスについてはより詳細に調べてゆくほうがよいでしょう。
インターネット上の別のプロセス データベースからの情報を得るために、あなたの好きなサーチ エンジンに疑わしいプロセスの、例えば、ファイル名を入力して検索してみてください。こうして得られた情報およびパス情報から、そのプロセスが無害なものか悪意のあるものかを判断することが出来ます。HiJackFreeの [詳細] ウィンドウはこの判断をするときに役立つ有益な情報を大量に収録しています。[ファイル プロパティ] セクションでは製作者名や製品名など、関連するプログラム ファイルのプロパティを見ることが出来ます。[プロセスの詳細] では、そのプロセスが Windows のサービスとして実行されているものか (危険性は少ない)、自動実行エントリによって起動されたものか (疑わしい)、TCP または UDP ポートを開いているか (かなり疑わしい) を確認することが出来ます。
- リスト中の白の項目は、オンラインで情報が見つからないプロセスです。ここに分類されたファイル名についてもウェッブ検索をして、更に情報を収集するとよいでしょう。
HiJackFree はプロセスがマルウェアか否かについての具体的な判定を提供できるものではありません。しかし、通常のシステム プロセス全てをフィルタリングする際、多いに役立ちます。まず、黄色、赤、白の項目に焦点をあわせて作業を進めると、かなりの時間が節約できます。しかし、決して、色分けを盲信するということのないようにしてください。
1.2. 特定されたマルウェアを駆除する
いったん 明確に 悪意のあるプロセスであると特定されたら、次のステップは、それをコンピュータから消し去ることです。
- 活動中のマルウェアのプロセスを止めるには、終了させる、つまり "キル" させなければなりません。まず、リストからプロセスを選択して、画面左側にあるメニューから [キル プロセス] ボタンをクリックします。しかし、次にシステムを始動させたとき、このプロセスが再び活動を開始する可能性も十分考えられます。
- そのため、このプロセスに対応しているプログラムも削除しなければなりません。[ファイルの削除] チェックボックスを選択してください。完全に削除するのではなく、まず、検疫してみると、もし、そのプロセスがマルウェアではなく必要なプログラムだと分った時にリストアできるので良いでしょう。このためには [バックアップとして保存] チェックボックスを選択してください。
- マルウェアは、いわゆる "自動実行" エントリによってシステムの起動時にロードされる場合が多いので、これに関連するエントリは全て削除する必要があります。このためには [レファレンスの削除] チェックボックスを選択してください。まれに、ファイルは削除されているのに、 "停止中" のオートスタート エントリがまだ存在していて、この消去されたファイルを参照するために、システムが不安定になることもあります。
|