イベント監視

システムファイルの複製

さまざまな不正なプログラムに利用される手法で、Windowsのシステムファイル名を使用して、自身または他のプログラムのコピーを作成することがあります。システムファイルと置き換わることで、検出されないようにしたり、ユーザによって削除されないようにするためです。

Hostsファイルの変更

Hostsファイルは、ホスト名をIPアドレスに変換する際に参照するファイルです。Hostsファイルの内容が不正に変更されると、詐欺などを目的とした偽装サイトへ誘導される場合があります。

不審な挙動

不審な挙動は、正規のプログラムではめったに実行されない特定の処理または一連の処理です。不審な挙動を示すプログラムを使用する際は、十分に注意してください。

Internet Explorerプラグインの追加

スパイウェア/グレーウェアにより利用される手口で、不要なInternet Explorerプラグイン (ツールバーやブラウザヘルパーオブジェクトなどを含む) がインストールされることがあります。

Internet Explorer設定の変更

さまざまなウイルス、スパイウェアが利用する手法で、Internet Explorer設定が勝手に変更されることがあります。変更対象には、Internet Explorer設定のホームページや信頼済みサイト、プロキシサーバの設定などがあります。

セキュリティポリシー設定の変更

Windowsのセキュリティポリシー設定が変更されると、不正プログラムの実行やシステムの変更が可能になります。

DLL (プログラムライブラリ) インジェクション

多くの不正プログラムは、すべてのアプリケーションでプログラムライブラリ (DLL) が自動的にロードされるようにWindowsを設定します。これにより、DLL内の不正ルーチンが、アプリケーションが起動するたびに実行されるようになります。

シェル設定の変更

さまざまな不正プログラムに利用される手法で、Windowsのシェル設定が変更され、特定のファイルタイプと関連付けられることがあります。設定が変更されると、Windows Explorerで特定のファイルタイプを開く際に、不正プログラムが実行されるようになります。また、使用しているプログラムが追跡され、不正プログラムが正規プログラムを伴って起動できるようになる場合があります。

サービスの追加

Windowsサービスには特別な機能があり、通常、完全な管理者権限を持ち、バックグラウンドで継続的に実行されます。不正プログラムはサービスとしてインストールされていることがあります。

システムファイルの変更

Windowsシステムファイルは、たとえばスタートアッププログラムやスクリーンセーバーの設定など、システムの動作を定義しています。Windows起動時に自身を自動起動させたり、システムの動作を制御するために、不正プログラムによってこのシステムファイルが変更されることがあります。

ファイアウォールポリシー設定の変更

システムプロセスの変更

多くの不正プログラムは、ビルトインのWindowsプロセスでさまざまな処理を実行します。これらの処理には、実行中のプロセスの終了や変更が含まれます。

スタートアッププログラムの追加

多くの不正プログラムは、すべてのアプリケーションでプログラムライブラリ (DLL) が自動的にロードされるようにWindowsを設定します。これにより、DLL内の不正ルーチンが、アプリケーションが起動するたびに実行されるようになります。

診断

イベントに関連するプログラムを常に許可しますが、この処理を診断用にログに記録します。

これは監視対象のすべてのシステムイベントの初期設定の処理です。

許可

イベントに関連するプログラムを常に許可します。

必要に応じて問い合わせ

イベントに関連するプログラムを許可または拒否するかをユーザに確認し、さらにそのプログラムを除外リストに追加するかどうかを確認するメッセージを表示します。

一定時間内にユーザが応答しない場合、プログラムが自動的に実行されます。この時間の初期設定は30秒です。

拒否

イベントに関連するプログラムを常にブロックし、この処理をログに記録します。

通知が有効になっている場合、プログラムがブロックされると、ウイルスバスター Corp.クライアントコンピュータにウイルスバスター Corp.からの通知が表示されます。