Windows Live OneCareマイクロソフト製のアンチウイルスソフトで簡単ですが実際にパソコンウイルスを使って検出テスト及び実行テストを行ってみた評価レポートです。
注:Windows Live OneCareは基本的にInternetExplorerを基準にネット閲覧からのパソコンウイルスを監視してくれるので、サードパーティ製のFirefox等での検証は行っておりません旨ご了承願います。
体験版の方は90日間お試しいただけるとの事(2008/05/17時点)
テスト環境
AMD Athlon64 3000+ Socket754 (2.0GHzシングルコア)
チップセット VIA K8T800Pro
グラフィック ATI RADEON 9600XT 256MBグラフィックメモリ
メモリ 512MB PC-2700
HDD 40GB IDE/7200rpm
OS WindowsXP pro OEM ServicePack2
パターンファイル更新日時
2008年5月17日付け
テストを行った日時も同日となります
初めに手持ちのトロイウイルス、ワームウイルス、マルウェア計17個を検出出来るかをテスト
圧縮している状態から解凍した瞬間に、幾つか自動検出及び隔離または駆除されました。
解凍時に自動検出出来なかったものに付きましては、直接スキャンを行い駆除。最終的に一つだけ取りこぼしがありました。
取りこぼしてしまったパソコンウイルスの詳細
ウイルス名:Trojan.BAT.Adduser.c(カスペルスキー検査結果より)
取りこぼしいたTrojan.BAT.Adduser.cを実行して反応を見て見ました所、Plz report errorと出力され
特にシステムへのダメージとなる様子はありませんでした。壊れているか感染に至る環境ではないと言う事になりますね。手元にあるテスト用ウイルスに付きましては次回より見直しします。
一応問題なしと言う事で。
次に悪意あるツールを配布するアンダーグラウンドサイトでのテスト
まずTrojan Isbartと言うツールバーをセットしてくるサイトを開いて見ると、開いた瞬間以下の通り検出してくれました。
検出名:TrojanDownloader.JS/Isbar.gen
次にVundoと言うマルウェアをダウンロード時に検出可能かをテストするものの、Vudo本体は特に何の問題もなくダウンロード完了してしまいました。以下IE6ダウンロード完了画面が出力されていることを確認頂けると思います。
検出してくれない為、一応Vudo本体を手動検査してみると、以下の様に検出し自動駆除されました。
検出ウイルス名
TrojanDownloader.Win32/Matca
TrojanDownloader.Win32/Harni
Trojan.Win32/Vundo.gen!D
次はMezziaの検出テスト、上記同様本体は問題なくダウンロード完了します。手動検査で検出は可能です。
検出名:TrojanDownloader.Win32/Matcash.B
感染すると非常に厄介なDelfでのテストです。ダウンロード完了の後、手動検査を行うも反応無しでした。念の為カスペルスキーファイルスキャンを行うも反応なし。Virustotalで検査を行うとF-secureを筆頭に数種類のアンチウイルスしか検出出来ない状態でした。
最後にZlobをテストしてみた結果です。本体は問題なくダウンロード可能なものの、手動で検査を行うと検出可能です。
検出名:TrojanDownloader.Win32/Zlob.g(genかな)
次に取れたてのP2Pワームウイルスでテストしてみた結果です。解凍時に検出可能でしたまた圧縮されている状態からダブルクリックにて実行試行を行うも以下の様に「指定されたファイルにアクセス出来ません」とエラーが出力されるのみ。
検出名:Worm.Win32/Antinny.BK
冒頭検出されたパソコンウイルスを幾つか実行試行するも、問題なく検出及びエラーとなり正しくパソコンを保護する事が出来た様子です。
最後に、zlob、delf、vundoを実行してどうなるかをテストしてみました。一応カスペルスキーファイルスキャンで各種マルウェアの状態を把握頂けると思います。zlobに付きましてはカスペルスキーでも検出不可なので感染しているか否かに付きましては証明する事が出来ない旨ご了承願います。
まずzlobを実行試行。どういうわけか反応無し。感染している様子もありません。zlobの特性としては感染するとその役目と言うかzlob本体はなくなるのですが・・よくわかりません。
続いてvundoを実行試行してみた画面です。ピシット検出してくれます。ただ変なゴミファイルも散乱。他のパソコンウイルス対策ツールも同様の現象は発生します。 次に
Delfをテスト。
Windows Live OneCare搭載のファイアウォールサービスより確認メッセージがあるものの特に何かを検出する様子はありませんでした。一応以下の確認メッセージは許可を選択してみましたが、検出はないものの感染もしている様子が無い。
上記マルウェアを実行試行のあと、何か被害がないかWindowsを再起動してみると起動時に幾つかのウイルスを検出した他特に被害は無い様子。特にDelfなら検索サイトをハイジャックされるはずなんですがそれもありません。どういうことなのかは不明
最後にWindows Live OneCareでパソコンを検査。WindowsXPデフォルトインストール状態で要した検査時間は概ね約30分程度でした。検査結果には6個検出とあります。
カスペルスキーオンラインスキャンを続いて行った結果です。
見つかったウイルス:3
感染したオブジェクト:4
検査結果の詳細ログはこちらから参照願います。
Windows Live OneCareの感想
このレポートを掲載前に実はPCキラーをWindows Live OneCareセットした状態でトラップを踏んでしまったのですが・・その際PCは強制終了するものの起動させるとなんとも無かった様に動いてくれました。どういうことなんでしょうか?リストア機能が付属しているのか?現状よくわからないです。
どなたか詳しい方、コメント欄にWindows Live OneCare特殊機能詳細が存在する場合簡単で結構なので説明頂けると幸いです。
評価としてはとにかく良い。最高です。但しInternetExplorer利用時限定と言う事で。
注:ログ関連をまったく把握出来ませんので、何がパソコンに起こったのかを把握することも出来ません。
一応以下はPCキラーを踏んでしまった後のカスペルスキーオンラインスキャン結果です。
PCキラーと言うレポートは出来ないのですが、一応強制終了させられる前のスクリーンキャプチャはこちらのページへ掲載しております。(携帯電話の写真の為鮮明ではありません)
感染オブジェクト名 / ウイルス名 / 前回の処理
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat ロックされています スキップ
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat ロックされています スキップ
C:\Documents and Settings\All Users\Application Data\Microsoft\OneCare Protection\Support\MPLog-05172008-130939.log ロックされています スキップ
C:\Documents and Settings\All Users\Application Data\Microsoft\Protection Service\edb.log ロックされています スキップ
C:\Documents and Settings\All Users\Application Data\Microsoft\Protection Service\edbtmp.log ロックされています スキップ
C:\Documents and Settings\All Users\Application Data\Microsoft\Protection Service\mpssvc.mdb ロックされています スキップ
C:\Documents and Settings\All Users\Application Data\Microsoft\Protection Service\MPSSVCPolicyIdLog.etl ロックされています スキップ
C:\Documents and Settings\LocalService\Cookies\index.dat ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\LocalService\NTUSER.DAT ロックされています スキップ
C:\Documents and Settings\LocalService\ntuser.dat.LOG ロックされています スキップ
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされています スキップ
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされています スキップ
C:\Documents and Settings\NetworkService\NTUSER.DAT ロックされています スキップ
C:\Documents and Settings\NetworkService\ntuser.dat.LOG ロックされています スキップ
C:\Documents and Settings\test1\Application Data\Microsoft\IMJP8_1\imjp81u.dic ロックされています スキップ
C:\Documents and Settings\test1\Cookies\index.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\History\History.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\History\History.IE5\MSHist012008051820080519\index.dat ロックされています スキップ
C:\Documents and Settings\test1\Local Settings\Temporary Internet Files\Content.IE5\index.dat ロックされています スキップ
C:\Documents and Settings\test1\NTUSER.DAT ロックされています スキップ
C:\Documents and Settings\test1\ntuser.dat.LOG ロックされています スキップ
C:\Documents and Settings\test1\tmpms45.exe 感染: Backdoor.Win32.Agent.gjs スキップ
C:\Documents and Settings\test1\UserData\index.dat ロックされています スキップ
C:\Documents and Settings\test1\デスクトップ\c-setup.exe 感染: Trojan-Downloader.Win32.Delf.hvj スキップ
C:\Documents and Settings\test1\デスクトップ\setup.exe/data0007 感染: Trojan-Downloader.Win32.Zlob.njj スキップ
C:\Documents and Settings\test1\デスクトップ\setup.exe NSIS: 感染 - 1 スキップ
C:\Documents and Settings\test1\デスクトップ\testvirus2008-2\NetBios+++.COM 感染: Trojan.BAT.Adduser.c スキップ
C:\Program Files\Microsoft Windows OneCare Live\ClientSD\Ent.dat ロックされています スキップ
C:\Program Files\Microsoft Windows OneCare Live\ClientSD\Prov\prov.xml ロックされています スキップ
C:\Program Files\Microsoft Windows OneCare Live\ClientSD\Prov\service.xml ロックされています スキップ
C:\Program Files\Microsoft Windows OneCare Live\ClientSD\Prov\service.xml.bak ロックされています スキップ
C:\Program Files\Microsoft Windows OneCare Live\ClientSD\Prov\user.xml ロックされています スキップ
C:\Program Files\Microsoft Windows OneCare Live\ClientSD\Prov\user.xml.bak ロックされています スキップ
C:\Program Files\Microsoft Windows OneCare Live\ClientSD\SubInfo.xml ロックされています スキップ
C:\Program Files\Microsoft Windows OneCare Live\Database\edb.log ロックされています スキップ
C:\Program Files\Microsoft Windows OneCare Live\Database\tmp.edb ロックされています スキップ
C:\Program Files\Microsoft Windows OneCare Live\Database\WinSS_st.edb ロックされています スキップ
C:\Program Files\Microsoft Windows OneCare Live\onecaremp_log.bin ロックされています スキップ
C:\Program Files\Microsoft Windows OneCare Live\WinSSSvc_log.bin ロックされています スキップ
C:\System Volume Information\MountPointManagerRemoteDatabase ロックされています スキップ
C:\System Volume Information\_restore{365A80B6-1450-49B1-89FC-5B58D65D9DC8}\RP26\A0005308.exe 感染: Backdoor.Win32.Agent.gjs スキップ
C:\System Volume Information\_restore{365A80B6-1450-49B1-89FC-5B58D65D9DC8}\RP26\change.log ロックされています スキップ
C:\WINDOWS\Debug\PASSWD.LOG ロックされています スキップ
C:\WINDOWS\SchedLgU.Txt ロックされています スキップ
C:\WINDOWS\SoftwareDistribution\EventCache\{4C34E4C0-3E8D-430E-A5DB-B193E6B6AA9C}.bin ロックされています スキップ
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log ロックされています スキップ
C:\WINDOWS\system32\CatRoot2\edb.log ロックされています スキップ
C:\WINDOWS\system32\CatRoot2\edbtmp.log ロックされています スキップ
C:\WINDOWS\system32\CatRoot2\tmp.edb ロックされています スキップ
C:\WINDOWS\system32\config\AppEvent.Evt ロックされています スキップ
C:\WINDOWS\system32\config\default ロックされています スキップ
C:\WINDOWS\system32\config\default.LOG ロックされています スキップ
C:\WINDOWS\system32\config\MSFWSVC.evt ロックされています スキップ
C:\WINDOWS\system32\config\SAM ロックされています スキップ
C:\WINDOWS\system32\config\SAM.LOG ロックされています スキップ
C:\WINDOWS\system32\config\SecEvent.Evt ロックされています スキップ
C:\WINDOWS\system32\config\SECURITY ロックされています スキップ
C:\WINDOWS\system32\config\SECURITY.LOG ロックされています スキップ
C:\WINDOWS\system32\config\software ロックされています スキップ
C:\WINDOWS\system32\config\software.LOG ロックされています スキップ
C:\WINDOWS\system32\config\SysEvent.Evt ロックされています スキップ
C:\WINDOWS\system32\config\system ロックされています スキップ
C:\WINDOWS\system32\config\system.LOG ロックされています スキップ
C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\IMJP8_1\imjp81u.dic ロックされています スキップ
C:\WINDOWS\system32\config\Windows_OneCare_Evt.evt ロックされています スキップ
C:\WINDOWS\system32\h323log.txt ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA ロックされています スキップ
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP ロックされています スキップ
C:\WINDOWS\Temp\Perflib_Perfdata_488.dat ロックされています スキップ
C:\WINDOWS\Temp\TMP0000000F835EBDDC8E558759 ロックされています スキップ
C:\WINDOWS\WindowsUpdate.log ロックされています スキップ
スキャンプロセスは完了しました。
スポンサードリンク
| |パソコン勉強部屋 | パソコン勉強部屋2 | ADSL勉強部屋 | メール勉強部屋 | LAN勉強部屋 | ホームページ勉強部屋 | 自宅サーバー勉強部屋 | お役立ちソフトの部屋 | C言語勉強 | 無料ゲーム | 無料セキュリティー | Linuxのコーナー | あかかげまる | オンライン通販 | ショップブランドパソコン | DVDとCD編集ツール | Avast | |
TOPメニューに戻る