| Copyright © 2000-2005 eazyfox. All Rights Reserved. | |||||
|
|
|||||
| HOME > SecuTool > H+BEDV AntiVir | |||||
| Copyright © 2000-2005 eazyfox. All Rights Reserved. | |||||
|
|
|||||
| HOME > SecuTool > H+BEDV AntiVir | |||||
無償で利用できるAnti-VirusツールでAVG, ANTIDOTEと共に有名なAntiVir Personal
Edition(AVGuard)を紹介する。
最新モジュールはhttp://www.free-av.com/antivirus/allinonen.htmlからDownloadを行う。
筆者も数年間、このAntiVirを愛用しているがパターンファイルのUpdateは1日に3回くらい(土日はUpdateがほとんど無いが)で新種ウィルスへの対応もたいへんすばやい。またプログラムのマイナーバージョンアップも時々あり、非常に安定して利用できている。
AntiVirは常駐タスクの状態表示・設定画面、マニュアルスキャンの起動・設定画面の2画面から成り立っている。順に画面を見ていくことにしよう。
| この記事で説明している製品は旧バージョンです。 新バージョンの「AntiVir PersonalEdition Classic」の説明はこちらです。 |
Win9x系ならスタートメニューの「AntiVir Guard」、NT系はスタートメニューの「AntiVir Guard」またはタスクトレイの右クリックで「Configuration」で画面が表示される。
常駐タスクの画面から上の4つのボタンは左から
「オプションの設定」
「ログの参照」
「メインモニタ画面の終了」
「ヘルプ」
です。
真中の「AntiVir Guard」は現在の設定状態を表している。上から
「Service-Status」:常駐エンジンの状態。ここでは"Active:動作中"でになっている。Not
Activeは常駐停止 Not Loadedは常駐なし。
「Notify User」:Virus発見時の通知または自動実行されるときはYes
「File Action」:Virus発見時動作で"Repair File:感染ファイルを修復にしている。
「File To Scan」:スキャンするファイルの種類。
「File Count」:検査したファイル数
「Last Detection」:最後に見つけたVirus名
「Detection」:検出したVirusの数
「Last Scanned file」は最後に検査したファイル名である。
ここで表示される内容は下記で示すオプションで設定の変更が可能。では続いてオプションの設定を見ていこう。オプションには
ここではスキャンの方法を設定する。
「Device mode」はスキャンするタイミングを指定する。上から「読み込み時にスキャン」、「書き込み時にスキャン」、「読み書き両方でスキャン」。左下の「Archives」はZIPやLHAなどの圧縮ファイルを解凍してスキャンするときに指定する。通常はチェックを入れる。「Device
to monitor」はスキャン対象とするドライブでFree版はLocalなドライブ(FD,HDD,CD,ZIP,MO)が対象。有償版はリモートドライブも対象にできる右に行って「File
to Scan」はスキャンするファイルの種類を指定するもので、ここでは「全てのファイル」か「特定に拡張子ならスキャン」から選択する。拡張子の設定は下にある「File
Extensions」をクリックすると一覧が出てきて追加削除か可能。
Virusチェックは従来は実行モジュールだけであったが、最近のWindowsではほとんどの拡張子のファイルにVirus感染するので、All filesの指定いいと思う。圧縮ファイルについては「圧縮された状態では感染しないので関係ない」という意見もある。できれば圧縮状態のままスキャンするのが望ましいが、大きなサイズのファイルでは負荷が高くなるので、あまりにレスポンスが悪いようだとチェックを外してもいいかと思う。その際にはファイルの読み書きでチェックを行うようにしたほうがよい。
次の「Action if file〜」は感染したファイルやVirusを見つけたときに修復できないときの動作の指定。上から「指定の隔離フォルダへ移動する」、「感染ファイルを削除する」、「感染ファイルを完全に消去する」、「ファイル名を(拡張子)を変更する」、「ファイルへのアクセスを禁止する」から選択できる。ここでは隔離フォルダへ移動するにしている。下にある「Quarantine〜」が隔離フォルダのディレクトリ名。右の2つのチェックは発見時の警告確認動作で「イベントログに記録する」、「サウンドを鳴らす」になっている
筆者は顧客のマシンにVirusチェッカを導入するときには、たいてい「隔離フォルダに移動」を設定している。ユーザーにとって大切なファイルかもしれないし、部分的でも修復できるものなら治してくれという要望が多いためだ。個人的にはあっさりと削除してもいいのではと考える。一般にEXEなどの実行形式ファイルに感染するVirusは感染時に内部の書き換えを行うので検疫して元のクリーンな状態に戻すことは難しいので削除するしかないケースが多い。スクリプト系のVirusはスクリプト部を削除すればいいので検疫して元に戻るケースが多いように思う。
次は修復の設定。感染したファイルは必ず修復を試みるようだ。それでダメなら上記で指定した削除や隔離といった動作を行う。「Repair automatically」に必ずチェックを入れて自動修復にする。下の「Backup」は修復前に感染ファイルの状態でバックアップを作成するか?の設定。もし誤認識で修復されたときには元のファイルが壊れてしまうので念のためにバックアップを取るというもの。
つぎはマクロ系のVirusとWin32の未知のウィルスに関する設定。
マクロVirusの検出を設定する。マクロVirusを発見したときの動作は「修復を試みる」→「修復できないときは警告する」になる。
Win32の未知のウィルスはレベルを3段階から選択する。上から順にLow(低い)、Medium(中間)、High(高い)になっている。デフォルトは中間になっている。未知ウィルスの検出を高くすると誤判定やシステムの負荷が高くなるのだろう。
次はログファイルの指定。
上の大きなボックスがログファイルのファイル名の指定。左下はログの出力レベルで上から順に「ログ無効」、「標準ログ」、「拡張ログ」、「完全ログ」。右下はログサイズの指定で「ログを下記のサイズに制限する」と「ログサイズ(KByte)」である。
アクセスログはこんな感じで、見つけたVirusの名前(ここでは"ANNAKOURNIKOVA.JPG.VBS")を表示して移動しました。アクセスは禁止されましたと記録してある。
29.06.2001 21:55:59: The file "C:\TEMP\VIRUS\ANNAKOURNIKOVA.JPG.VBS"
has been infected with the virus "VBS.SST-A
#4"
29.06.2001 21:56:02: The file has been moved.
29.06.2001 21:56:02: Access will be denied.
次は除外するタスクの指定。
ここでは指定したタスクがアクセスするファイルをリアルタイムスキャンの対象から外す指定を行う。試しにkerioのモジュールを指定してみた。これでKerioは監視対象から外れる。ゲームのモジュールなどを対象とすればいいのかと考えたが、現状では安全だと断定できるものは無いに等しいのでこの指定を行うことはないと思われる。
次はもらって嬉しくないプログラムの警告指定。
最後に「嬉しくないプログラム」を発見したときの警告動作を行う対象を指定する。ここは全て指定しておいて問題は無い。対象となるプログラムは危険なソフトウェア(なんだ?)、ジョーク系、ゲーム系、ダイヤルアップ系、トロイの木馬系となっている。標準ではダイヤルアップとトロイの木馬だけなので注意すること。
常駐タスクの設定は以上。非力なPCを使用しているときに常駐タスクが重くて使えないといったときには上記の設定を理解しながら見直してみれば軽くなる場合があるがリスクも認識すること。たとえばファイルのチェック対象の拡張子を指定することで負荷は減るが、対象にならない拡張子をちゃんと覚えていないとせっかくAntiVirをインストールしていても感染したということになりかねない。
常駐タスクがVirusを見つけたときにはWin9x系ではDOS画面、NT系ではダイアログが表示される
・Win9x系の画面
| AVGuard - The virus guard for Windows | |||||||||||||
| The file "xxxxxxxxxx" | |||||||||||||
| contains code of the virus "AAAAAAAAAA" | |||||||||||||
| What shall be done with the file? | |||||||||||||
| Delete | Rename | Move | Ignore | ||||||||||
| AntiVir for windows 9x, Copyright (c) 1999-2004 H+BEDV datentechnik Gmbh | |||||||||||||
Win9x系では常駐タスクがVirusを見つけたときにはDOS画面で表示される。「The
file〜」はVirusを発見したファイル名、「contains code〜」は発見したVirusの名称。その下はVirusの処理選択である。4つの処理を選択可能になっている。
「Delete:削除」、「Rename:ファイル名変更」、「Move:移動」、「Ignore:アクセス拒否」である。
それぞれ"e"、"n"などの黄色で表示されている文字が各動作のコマンドなので削除なら"e"を押すとVirusが削除される
・NT系の画面
NT系ではダイアログが表示される。上には見つけたファイル名とVirus名。「What
shall code〜」以下が動作の指定である。
「Repair:修復」、「Move file〜:隔離フォルダへ移動」、「Delete file:ファイルの削除」、「Wipe file:ファイルの削除と痕跡の削除」、「Rename file:ファイル名の変更」、「Deny access:ファイルへのアクセス禁止」、「Allow access:ファイルへのアクセス許可」である。修復できないファイルではRepairはグレーになって選択できない。
通常は修復か削除を選択する。痕跡の削除とはVirusファイルの削除だけなく、ファイルがあった位置に文字列を書き込んで完全に痕跡を消すことである。
スタートメニューの「AntiVir」またはタスクトレイの右クリックで「Start AntiVir Main Program」で画面が表示される。
ここでは手動スキャンやスケジュールの設定やもっと細かい設定が出来るようになっている。ボタンは左から「手動スキャン」、「詳細設定」、「レポートフォーム」、「スケジュール」、「アップデート」、「Virusリスト」、「ヘルプ」だ。手動スキャンは左下の「Drives」でチェックが入っているドライブに対して行われる。フォルダ単位でのスキャンはここでは出来ない。もしフォルダ単位でスキャンをするときはExplorerでフォルダを選択して右クリックのメニューから「scan for virus with AntiVir」を選んで行う。
次にスキャン実行や詳細設定を見てみよう。まずメイン画面を起動時にメモリスキャンが動作する。その後、手動スキャンを走らせてみる。
スキャン中の画面。下にある「STOP」ボタンを押せばスキャンは中断する。じつはDiskの中に600Mあるでっかいデータファイルがあるのだが、それをスキャン中にSTOPしてみたら見事にTEMPファイルが無くなりましたといってこけてしまった。やっぱりスキャン中はあまり遊ぶものではないな・・・
もしVirusが見つかったら英語のDOS画面が出てきて「DELETE」、「Rename」、「Move」とかを表示してくるので、そこで削除するか、移動するとかを選択することになる。
いつ見ても「Luke Filewalker」というタイトルにおかしさを感じる。きっとフォースを使って未知のVirusと戦っているんだろう。緑に光るランプはDiskのアクセスランプではなく、Diskの中でライトセーバーがきらめいている光をあらわしているのだ。
スキャンが終了するとこんな画面が出てくる。
上から、経過時間、スキャンしたフォルダの数、スキャンしたファイルの数、メッセージの数、削除したファイルの数、修復したファイルの数、見つけたVirus数となっている。「Report」は見つかったVirusの報告フォーム、「Summary report」は検査結果の履歴表示となっている。
ここで「Summary report」をクリックしてこれまでの履歴を見てみよう。
スキャンした日付順に結果が表示されている。「〆」のマークの結果はVirusが見つからなかった、「→」は何らかのVirusが見つかったスキャンである。ここでは見つからなかったときのログを表示している。
実行結果は以上のようなものだ。AntiVirを常駐させてリアルタイムスキャンも行っているのでこの手動スキャンでVirusが見つかることはあまりない。したがってVirus発見!のような参考になるような画面が提供できないことは許していただきたい。
次に詳細設定を見てみよう。
あまり指定することも無いというか、下手に触らない方がいいかもしれないが、項目の説明は行うので、もし何らかの設定が必要なときには参考にして欲しい。ここでは検査する対象を設定する。左上から「指定したDiskのブート領域を検査するか?」。ここではするの設定なのでチェックが入っている。下に行って「最初にメモリ内を検査するか」。当然検査する。「実行時のプライオリティ」は中くらいの「medium」にしている。スキャンを最優先にするなら「High」西手も良い。右に行って「対象ファイルは」で、ここでは全ファイルを指定している。
対象ファイルの指定は、ここでは手動スキャンのときの対象であり、常駐タスクの対象ファイルの設定と異なる設定が可能である。どちらも「All files」がいいだろう。
次は検査を省略するファイルの設定。もし感染していないのにVirusだと出てしまうファイルをここで指定しておく。よくバイナリのデータなどで誤判断するときがあるので、そのときには慎重にここで登録すること。
登録前に他のVirusScan(オンラインを含む)で誤判定であることを確かめてから登録すること。
詳細設定がまだまだ続くので引き続き見て行こう。いろいろとスキャンや駆除の設定が出来るが、あくまでどんな設定が可能かというだけで、変更しないと正常に動かないというものではない。Virusチェッカの評価はパターンファイルの更新頻度とエンジンの軽さ(性能)だと思っている。
ここでは圧縮されたファイルを展開してチェックするのかという指定と対象とする圧縮ファイルの拡張子を指定する。見たところほとんどが対象となっているようだが、もし自分が利用する圧縮形式が無ければ解凍後に1度手動Scanすることをルーチンワークにしておこう。
次に修復の方法を指定する。修復といっても全てのVirusが修復可能ではないので、そのときには削除するようだ
左上から感染ファイルを見つけたときの動作で、「メッセージを表示して修復する」、「メッセージ無しで修復する」、「メッセージを表示して削除する」、「メッセージ無しで削除する」から選択する。右に行って改変されて修復不能なファイルの動作で「メッセージを表示して削除する」、「メッセージ表示無しで削除する」、「無視する」から選択する。下の2つは左が感染ファイルの発見時の警報を鳴らすか?の設定で右は修復時に日付を変更するかの指定である。
改変ファイル発見時の動作で「Ignore:無視する」を選ぶと非常に危険だ。どうしてもVirusのテストで残しておきたいときやVirusコレクションをするとき以外は選択してはいけないと考える。
常駐タスクと同じように貰ってうれしくないプログラムの指定。全部指定すればいいと思う。
続いて近年大流行したマクロVirusに関する設定。
ここでは危険なマクロを見つけたときの動作を指定する。上の段は発見時に削除する方法を指定する。上から「全てに危険なマクロを削除する」、「一つでも危険なマクロを見つけたら全てのマクロを削除する」、「動作を確認する」である。下の段はWord6/7形式のテンプレートに寄生したマクロを通常のドキュメント形式に変換して実行しないようにする設定で上から「しない」、「Docファイルのみ変換する」、「常に変換する」、「確認する」である。一番下のチェックは削除したマクロを圧縮して保存しておき、後で修復するときに指定する。
マクロVirusは単純なVBSファイルであればファイル名のみの検索で発見が可能だが、HTTPソース内に紛れ込ませてあったり、最初の発見時のソースから少しいじってあれば見つけるのは非常に困難だ。したがって怪しいと思えばメールに添付してある複数のマクロ全てを削除するのか、一部のマクロのみ削除するのかがここで選択できる。また削除するさいに通常のテキストに変換して、マクロのソースを確認し危険部分を取り除いて後で復旧するということも可能な設定になっている。
ここでは危険だと判断されたマクロだが、実際には何の危険性も無いということが分かっているのならチェックから外すために指定する。マクロを自分で作って、偶然危険なパターンと酷似していたため削除されたのではたまらないからだ。
マクロの設定はここまでで、あとはスキャンの設定とか、いろいろ。
ここでは手動スキャンのWindowにファイルやフォルダをドラッグ&ドロップしたときにそれをスキャンするかを指定する。
もう少し詳細設定を見てみよう。多かったオプションの設定もあと少しだ。のこりはレポートやらアップデートの設定だ。
アップデートを行う際の設定である。筆者はCATV環境なのでダイヤルアップの接続が無いので上の3つの設定は選択できない。もし複数のダイヤルアップがある環境で使っているときには残り2つの選択が可能で、「デフォルトのコネクションで更新する」のか「下の設定のコネクションで更新する」のかを選択できる。またProxy経由での更新も可能だ。
一番下は自動アップデートの指定でリスタート時に必ずアップデートするとかが指定できる。
自動更新処理の詳細設定は
上から「Downloadしたモジュールのショートカットを作成」、「ダイヤルアップを自動終了」、「Download終了後にセットアップの自動起動」になっている。
続いてレポートの指定。
手動スキャンのレポートの設定。作成されるレポートはH+BEDVに提出するための形式である。左上から、レポート出力形式で「出力しない」、「上書きする」、「前回結果に追加する」から選択する。左下は出力ファイルの指定。一番下にあるのは警告メッセージの設定でアクセス不可ファイル、ファイルサイズがディレクトリの情報と異なるとき、COMファイルのサイズが大きすぎるときなどで警告するように設定できる。右はレポートに出力する内容でファイル名、パスを含むファイル名、全てのスキャンファイル、全ての情報を指定できる。またレポートが大きくなり過ぎないように設定も可能だ。
次はサマリレポートの作成。
サマリを作るか?という設定と、作るときのファイル名をここで指定する。また行数の最大値も指定できる。
最後にその他の設定。
左上から「圧縮ファイルの解凍などに使用する一時ファイルのパス」で、筆者が大きすぎるデータファイルでハング状態になったのは、ここの設定のせいだ。できれば一番大きな空き容量のあるドライブを指定した方が良い。つぎが「スキャンを中断可能とする」、「削除ファイルは上書きする」ここでは中断を可能にしている。「Load the Guard〜」はシステム起動時に常駐タスクを起動するときの設定。次の「Check for old〜」はVirusの定義ファイルが古すぎるときの警告指定で、ここでは14日以前の定義であれば警告するようになっている。最後が拡張シェルから起動後に自動終了するときの指定。
たくさん指定が可能だが、Virusチェッカの性能は指定よりもエンジンとパターンファイルである。無償版だけあって更新が頻繁とはいいがたい(決してAntiVirの更新が遅いとはいえないが有償のソフトでは1日に数度というのもあるので)。しかしVirusチェッカを購入していない、利用していない人は是非導入して欲しい。Firewallだけではセキュア環境は構築できない。Virusチェッカの組み合わせが必須だからだ。
有償のProfessional Editionでは次のような機能が強化されている。参考までに挙げておこう。
| 強化内容 | 説明 |
| Support of network drives. | ネットワークで接続されたドライブをサポートする |
| Support of network messages and warnings. | メッセージ出力や警告を他のコンピュータに送ることができる |
| Support of search profiles. | 検索の設定を複数設定できる(個人で使い分けが可能) |
| Scanning of single and multiple directories. | 単一か複数の検索ディレクトリ設定が可能 |
| Scanning of user-defines archives. | ユーザ指定の圧縮ファイルがスキャン可能 |
| Explicit scanning of boot records. | スキャンするブートレコードの指定が可能 |
| Intranet-Update-Wizard. This is a tool to distribute the software in your network. | アップデートをイントラで実行可能なツールの提供 |
| Start of external programs depending on the search results. | スキャンの結果で実行するプログラムを指定可能 |
| Scheduler. | スケジューラが利用可能 |
| Password protection for the configuration. | 設定のパスワード保護が可能(会社マシンではこれが必須) |
| CRC option. | CRCチェックが可能 |
| Enhances configuration possibilities for the scan- and repair engine. | スキャン、修復エンジンの拡張設定が可能 |
| The email scanner for MS Mail, Qualcomm Eudora, MS Outlook and MS Exchange Client are included. | メールのスキャンをサポート(OutlookやExchangeなど) |
(注意事項) 常駐タスクがエラーになり、タスクトレイの傘が開かない
Windows2000、XPで起動時に常駐タスクのAVGNTDD.SYSがエラーとなるケースがあります。原因と対策は
(1) ユーザーアカウントのパスワードが設定されていない→パスワードを設定する(空白はダメ)
(2) XPでユーザーアカウントの簡易切り替えを使っている→簡易切り替えを無効にする
以上で回避できます。