Sysinternalsで見つける怪しいファイル　その2

スパイウェアによる通信をTCPViewで見つけよう

2012年03月19日 06時00分更新

文● 富安洋介／エフセキュア

　前回は、マイクロソフト公開のツール群「Windows Sysinternals」の1つを使って自動実行から怪しいファイルを見つける方法を紹介しました。今回は、同じくWindows Sysinternalsを利用し、通信から怪しいファイルを見つける方法を紹介します。

通信の状況からウイルスやスパイウェアを探る

　トロイの木馬型やバックドアのようなタイプは、外部（おもにはウイルスの作者）とインターネット通信を行ない、情報の受け渡しや、ウイルスプログラム自身の更新などを行ないます。そのため、PCで行なわれている通信の状況を確認すれば、そういったウイルスなどの活動を見つけ出すことができます。この場合には、Windows Sysinternalsの「TCPView for Windows」が役に立ちます。

使っているプログラムによっては、実に多くの通信が行なわれる場合がある

　TCPViewは、そのPCで行なわれている通信をリアルタイムで表示してくれるツールで、netstatコマンドで取得できるのと同等の情報を表示してくれます。ここで注目すべきなのは、StateがEstablishになっていて、Remote Addressがlocalhost以外になっているものです。

　StateがEstablishというのは、通信が確立している状態のものを示しています。Remote Addressは接続先を示していますので、localhost、つまり自分のPC自体ではない場所と通信しているものを見ていきましょう。わかりやすくするため、ネットワーク通信を行なうことが分かっているプログラム、たとえばブラウザやSkypeなどは終了させておくことをお奨めします。

Remote Addressがドメイン名の場合は、接続先の想像がつく場合がある

　Remote Addressがlocalhostでないからといって、すべてが不審な通信というわけではありません。Whois情報を参考に、次は接続先がどこなのかを調べていきましょう。

Whois情報とは？

　インターネットのすべてのドメイン・IPアドレスには、所有者が登録されています。ドメインやIPアドレスから、その所有者を見つけ出すのがWhois情報です。Whois情報の検索は、ツールなどさまざまな方法がありますが、今回はWebサービスを利用する方法を案内します。

　Whois情報を検索できるサイトはいくつかありますが、今回は米ドメインツールズの「DomainTools」を使います。使い方は非常に簡単で、Webサイトの「Search Domain Ownership Records」に調べたいRemote Addressのドメイン名やIPアドレスを入力するだけです。たとえば、VPC.exeというプロセスが接続している「65.55.5.232」というIPを調べてみると、所有者がMicrosoft Corpになっているので、怪しいものではなさそうだということがわかります。