対象はユーザーモード、カーネルモード、MBR、BIOSの4段階

ウイルスの感染場所から理解する感染PCの復旧

2011年11月28日 06時00分更新

文● 富安洋介／エフセキュア

エフセキュアにいただくお問い合わせの中には、ウイルス対策ソフトの更新を怠っていたために不幸にしてウイルス感染してしまったお客様からの相談もあります。大抵は、改めてウイルス対策ソフト使って駆除が完了すれば、問題はなくなります。ですが、最近は手の込んだウイルスも増えており、ウイルス対策ソフトで何度駆除してもPCを起動するたびにウイルスが検出されてしまうケースも聞きます。この結果、泣く泣くWindowsを再インストールしたというお客様もいらっしゃるようです。今回は、ウイルス感染したPCを復旧する際の注意事項について考えてみたいと思います。

ポイントはウイルスの感染場所

　そもそも、ウイルスはどこに感染するのでしょうか？PCはハードウェアとソフトウェアで構成されますが、ソフトウェアであるウイルスが感染するのは同じくソフトウェアです。もっとも、PCのソフトウェアにはいくつかの種類があります。これは、ユーザーに近いほうから

アプリケーションを動かす Windowsのユーザーモード
Windowsのコア部分であるカーネルモード
OSを起動するためのマスターブートレコード（MBR）
PCのデバイス自体をコントロールするBIOS

に分類できます（図）。これらはすべてソフトウェアで構成されるコンポーネントなので、ソフトウェアであるウイルスが寄生できるのです。

PCの構成要素

　そして、どの部分にウイルスが感染するかによって、PC復旧のための対策ポイントが変わります。

ユーザーモードの感染　～アプリケーションレベルで対応可能

　Windowsのユーザーモードは、基本的にはユーザーがインストールしたアプリケーションが実行される空間です。この空間は、例えるとユーザーのための仮想マシンのようなもので、WindowsのOS本体からは隔離されています。このアプリケーションは、管理者権限を持つユーザーであれば、コントロールパネルから自由に削除することができ、OSの動作そのものに影響を与えることもありません。

　ウイルスも、多くはアプリケーションとして動作し、ユーザーモードで動作しています。この空間で動作するウイルスは、アプリケーションと同様に削除することで基本的にPC上から排除できます。利用中のアンチウイルスソフトなどを使って、ウイルスに関連するファイルと関連するレジストリなどを削除することで完全削除が可能です。

カーネルモードの感染～ OSレベルでの復旧が必要な場合も

　カーネルモードは、すべてのデバイスやメモリに直接アクセスできる高い特権をもった空間です。実際にPCに搭載されたデバイスを扱うデバイスドライバや、ファイルのI/O（入出力）、CPUへの命令などを直接になっており、OSの根幹をなしています。この空間で動作するモジュールは、ユーザーモードで実行されるアプリケーションやOSの動作そのものに影響を与えます。デバイスドライバが壊れれば、対応するデバイスは利用できなくなりますし、そのデバイスを利用するアプリケーションは利用できなくなるといった具合です。

　カーネルモードで動作するウイルスの代表的なものにルートキットがありますが、詳細は本連載の第7回「知っているようで知らない？ルートキットのすべて」を参考にしてください。

　カーネルモードで動作するウイルスの場合、OSの動きそのものにかかわるため、簡単にファイルを削除すればよいというものではありません。ウイルス感染したファイルを安易に削除すると、ブルースクリーンとなってWindowsそのものが立ち上がらなくなってしまうこともあります。

　ウイルス対策ソフトは、OSの動きを理解した上でウイルスを駆除するため、通常は問題なく駆除します。ですが、駆除したはずのウイルスが繰り返し検出されてしまう場合もあります。これは、そのウイルス対策ソフトでは、完全駆除できないことを意味します。こうなったら、ウイルス対策ベンダーのサポートセンターに連絡し、指示に従ってウイルス病巣そのものを駆逐して、初めて完全駆除ができたことになります。

　ただし、ウイルスの種類によっては、それでも完全削除できないこともあります。こうなると、OSの再インストールから行なわないとダメな場合もあります。

前へ 1 2 次へ

ツイートする

カテゴリートップへ