ウイルスの検出後メールボックスが削除される

| | コメント(8) | トラックバック(0)

非常に今更だけど、メールボックスごと削除されちゃう話について、NAVのKnowledge Baseを見ちゃったので一応。

・Norton AntiVirus でウイルスの検出後メールボックスが削除される
http://service1.symantec.com/SUPPORT/INTER/navjapanesekb.nsf/jp_docid/20040601192002958

メールボックスのファイルをスキャン対象から除外するという対策らしい。
ウィルスメールがすり抜けて入ってしまった場合(パターンファイルが出る前や更新する前に受け取ってしまうなど)、検出しない方針。

すり抜けた場合、ウィルスが実行される瞬間には検出できるのかな?
作業ファイルを必ず作るのかな?(ならば検出できそう)
メモリ上に展開するだけのウィルスもあるのかな?(メーラー依存?)
仮にあったとして、その場合は検出はできるのかな?
どこかで話が出てそうだけど、調べてません。

基本的には、どのウィルス対策ソフトでも同じだと思います。
削除はメーラーのインターフェイスからウィルスメールのみを手動で削除することになるんでしょうね。

よく分からないけど。

SEE:
フリーのウィルス対策ソフト (このblogより)
のコメントでちょっと話がでてました。

(直後に追記)
あちこちで話題になってるのねー。

トラックバック(0)

このブログ記事を参照しているブログ一覧: ウイルスの検出後メールボックスが削除される

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/301

コメント(8)

yassy :

こんばんは、3回目です。
そう言えばですけど...。

手動スキャンでメールのバックアップログから検出することありますね。(EdMAXの【rcv】ファイルとか)
受信時に検出削除はされてても生ログには残っていることがあるみたいですね。普段ログ取ってないので詳しい検証はしてませんけど。

このNAVの問題ってAuto-Protectで勝手に自動処理されちゃうって事と理解してます。(駆除できないから丸ごと隔離)

現在のNAV2004では除外ファイルに【.dbx】【.nch】がいつの間にか復活?してます。2003ではあったけど2004では少し前にはなかったんですけど。

参考にならないかもですけど。
ではまた。

ike :

yassyさん。情報ありがとうございます。
なるほどー。デフォルトで除外ファイルが指定されるようになったんですね。

EdMAXは使ったことないので分からないですが、メール本文と生ログを別ファイルに保存してるんでしょうか?
生ログ(生ログがどういうものか分かりませんが)はスルーしちゃうんですね?
色々あるようですね。

「NAVの問題」とは「Auto-Protect」に「処理の選択を要求する」の設定がないという事ですか?
「あああ、勝手に削除されちゃった」って思うことはあります。

ウィルス(の卵?)を「除外ファイル」に作成し、何かのタイミングに発病させる(抽出する?)ウィルスってないのかなぁと思ったりします。

yassy :

おはようございます。(早すぎですか?)
すみません、ちょっといい加減な事書いてしまったみたいです。

> メール本文と生ログを別ファイルに保存してるんでしょうか?
設定によります。
「受信したままの形式で保存」を選択してログを取ってみました。
添付ファイルも含めてテキスト形式のまま保存されてました。(拡張子【mbx】)
で、さっきウイルスメールで試してみたらログの添付ファイル部分はNortonのレポートファイルに置き換わってました。NAV2004では安全なようです?。

マカフィーで何度か検出された覚えがあるのですがちょっと記憶があやしくなって来ました。時間があれば検証してみます。(今後の課題ということで...。)

あと、除外指定よく見たら「手動スキャン」の方は空っぽでした。(Auto-Protectも元々そうだったのかも)

> 「Auto-Protect」に「処理の選択を要求する」の設定がないという事ですか?
今気付きました。そういえばないですね。

NAV2004の初期設定だとこんなかんじになります。

検出→元ファイルをバックアップ→コピーしたファイルを修復→修復不可の場合は自動削除または検疫。
(メール受信時に検出の際など、ごくたまに処理を求められることがあります。)

なので「ファイルの修復前にバックアップを作成」の設定を無効にしなければ
元ファイルは必ず残っているってことですね。復元は可能(な筈)です。

あぁ、なんかややこしいことばっかり書いてしまってすみません...。

ike :

yassyさん。はやいですね^^;
追加説明ありがとうございますー。
NAVの設定画面>「その他」>「ファイルの修復前に検疫にバックアップを作成」ってメニューがあったんですね。
しりませんでした。

yassy :

すみません、また間違ってました。
「バックアップ」からは復元できないみたいです。
「検疫」からは可能です。
なので、検出時に「削除」されちゃうと復元不可能ってことみたいです。

最近寝ぼけ気味です。
2重投稿すみませんでした。(削除ありがとうございました)。

ike :

yassyさん。
わざわざ検証ありがとうございますー。
2重投稿は、サーバのレスポンスが悪い事が多いのが原因かなぁと思ってます。(それかキャッシュの関係?)
ご迷惑かけてますm(_._)m。

yassy :

こんばんは、何度も失礼します。

AVGとかでもバックアップログにウイルスが残る事はありませんでした。

バックアップログから検出されるのは
(【Klez】や【Netsky.P】などの)HTMLメールのいわゆる【iframe Download】記述の部分でした。(MS01-020のバグ狙い)

で、大抵のメールスキャナーは添付ファイルは削除してもHTMLメールのこの記述は除去しません。(マカフィーでは除去されます。)

マカフィーでは【Exploit-MIME.gen.c】として検出
Antidoteでは【懐疑 : Exploit.IFrame.FileDownload】です。

乗換でマカフィーを導入した際には注意が必要かも。

あ、無知が露呈してしまいました。ハ
edmaxの【rcv】ファイルは自動的に作成される生ログ(添付ファイルも含むエンコードされたまま)とのこと
http://www.edcom.jp/edmax/avirus.html
削除して問題ないってことですね。

勉強になりました、ありがとうございます。

ike :

yassyさん。
いえいえ。なかなか詳しいです。
各社の動作の違いはなかなか複雑ですね。

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2004年6月 9日 03:10に書いたブログ記事です。

ひとつ前のブログ記事は「NISがあるとIISがうまく起動しない」です。

次のブログ記事は「開封確認通知のメールを検索してみる」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

On ウイルスの検出後メールボックスが削除される
  • ike: yassyさん。 いえいえ。なかなか詳し
  • yassy: こんばんは、何度も失礼します。 AVG
  • ike: yassyさん。 わざわざ検証ありがとう
  • yassy: すみません、また間違ってました。 「バッ
  • ike: yassyさん。はやいですね^^; 追加
  • yassy: おはようございます。(早すぎですか?)
  • ike: yassyさん。情報ありがとうございます
  • yassy: こんばんは、3回目です。 そう言えばです
Powered by Movable Type 4.261