Sysinternalsで見つける怪しいファイル　その1

Autorunsによる自動実行ファイル調査でスパイウェア検出

2012年03月12日 06時00分更新

文● 富安洋介／エフセキュア

　2011年には、参議院など政府関連組織への標的型攻撃が話題となりました。2012年になっても2月に特許庁内の端末でトロイの木馬型ウイルスの感染が見つかるなど、今年も標的型攻撃が継続して行なわれることが予測されます。標的型攻撃では、通常のウイルスと比べ、アンチウイルスソフトでの検出が難しいため、ユーザー自身のリテラシの向上が重要になることをこの連載の第19回でも紹介しました。

　今回と次回、次々回の3回では、そこからさらに一歩踏み込んで、アンチウイルスソフトで検出できず、万が一自分のPCがウイルスに感染した場合に、「Windows Sysinternals」というソフトウェアを使ってウイルスやスパイウェアを見つける方法を紹介したいと思います。

Windows Sysinternalsとは？

　Windows Sysinternalsは、Windows上でプロセスの挙動やファイルアクセスの状況などを調べるためのツール郡です。Linuxであれば、psコマンドやlsofコマンドなどがOS標準で使うことができますが、WindowsにはOSにこうした機能はありませんので、Sysinternalsを使い実現します。

　Sysinternalsは、Windowsの専門家であるマーク・ルシノビッチ（Mark Russinovich）氏が1996年にブライス・コグズウェル氏と創業したウィンターナルズ・ソフトウェア（Winternals Software）から提供されていたツールです。同社は2006年に米マイクロソフトに買収されたため、現在ではマイクロソフトから提供されています。Sysinternalsでは60を超えるツールが提供されていますが、その中からウイルスやスパイウェアの発見に役立つ3つのツールに絞って紹介したいと思います。

　ウイルスやスパイウェアは検出されていないけれどPCの挙動がおかしいと感じるような場合は、これから紹介する方法で一度調べてみるとよいでしょう。

自動起動の情報からウイルスやスパイウェアを探る

　多くのウイルスやスパイウェアでは、ユーザーが手動で実行された時だけでなく、OSが再起動された場合もプログラムが実行されるように自動実行を仕込みます。自動実行については、この連載の第16回でも解説しましたが、今回はSysinternalsの「Autoruns for Windows」というツールを使って見つける方法を紹介したいと思います。OSの起動時やログイン時に怪しい挙動が見られる場合に有効な方法です。

　Autorunsは、その名前の通り自動実行される設定となっているプログラムの一覧を表示してくれるツールです。

ドライバなども含め、ありとあらゆる自動実行されるファイルが表示される「Autoruns」

　この画面だけを見ても、問題のあるプログラムを見つけるのは難しいと思います。簡単に見つけるには、正常な状態の時に一度スタートアップの情報を保存し、それと比較する方法があります。スタートアップ情報の保存はメニューの「File」－「Save」、比較は「File」－「Compare」で行なえます。比較すると、差分の部分が緑色で表示されるので、正常時と比べて追加された部分が一目瞭然です。

緑色でマークされているものが追加されている自動実行の設定

　正常時の情報を用意していなくても、時間はかかりますが調べる方法はあります。Autorunsには、それぞれの自動起動の有効無効設定をチェックボックスから切り替える機能があります。これで怪しいプログラムの自動起動を無効にしてようすを見るのです。

　では、どれが怪しいプログラムなのでしょうか。注目すべきは「Publisher」の項目です。ここが空欄のプログラムは、デジタル署名がされていないことを意味しています。もちろんデジタル署名がされているウイルスも世の中には存在しますが、まずはされていないプログラムから疑っていく方が合理的でしょう。デジタル署名のないプログラムの行は、ピンク色で表示されるので、これも非常にわかりやすいです。この際に、Image Pathが"File not found"と記載されているものは、ファイルの実体がないためにデジタル署名もない状態と考えられますので、これについては無視しても構いません。