Malware-removal-quick-guide

提供:Dev Guides
移動先:案内検索

マルウェアの削除-概要

近年、多くの人々や大企業が貴重なデータを失ったり、システムがハッキングされている状況にあると聞いています。 これらの不要なアクティビティは、ほとんどの場合、ネットワークシステム、サーバー、またはパーソナルコンピューターに挿入されたソフトウェアを使用して引き起こされています。 このソフトウェアは「マルウェア」と呼ばれます。

マルウェアは、所有者が意図したものではなく、システムまたはネットワークに直接害を及ぼしたり、他のユーザーが使用するように破壊したりする可能性があります。 MalBad を、 WareSoftware を意味する2つの単語の組み合わせです。

www.av-test.orgに基づくと、統計は非常に大きくなっています。 マルウェアの成長を理解するには、次のグラフをご覧ください。

合計マルウェア

ご覧のとおり、2016年だけでも600,000,000以上のマルウェアが検出されました。 securelist.com に基づいて、よりクリーンなコンピューターと比較してコンピューターに感染した国は-

最大リスク(60%以上)22か国

キルギスタン(60.77%)

アフガニスタン(60.54%)。

高リスク(41〜60%):98か国

インド(59.7%)

エジプト(57.3%)

ベラルーシ(56.7%)

トルコ(56.2%)

ブラジル(53.9%)

中国(53.4%)

アラブ首長国連邦(52.7%)

セルビア(50.1%)

ブルガリア(47.7%)

アルゼンチン(47.4%)

イスラエル(47.3%)

ラトビア(45.9%)

スペイン(44.6%)

ポーランド(44.3%)

ドイツ(44%)

ギリシャ(42.8%)

フランス(42.6%)

韓国(41.7%)、

オーストリア(41.7%)

中程度の局所感染率(21-40.99%):45か国

ルーマニア(40%)

イタリア(39.3%)

カナダ(39.2%)

オーストラリア(38.5%)

ハンガリー(38.2%)

スイス(37.2%)

アメリカ(36.7%)

英国(34.7%)

アイルランド(32.7%)

オランダ(32.1%)、

チェコ共和国(31.5%)

シンガポール(31.4%)

ノルウェー(30.5%)

フィンランド(27.4%)

スウェーデン(27.4%)、

デンマーク(25.8%)、

日本(25.6%)。

マルウェアは、データの破壊、他の場所へのデータの自動送信、データの変更など、さまざまな目的のためにハッカーから設計することができます。または、指定された期間まで監視し続けることができます。 セキュリティ対策を無効にするか、情報システムを損傷するか、データとシステムの整合性に影響を与えます。

また、さまざまな種類と形式があります。詳細については、このチュートリアルの今後の章で説明します。

マルウェアの削除-仕組み

マルウェアの仕組みを理解するには、まずマルウェア攻撃の構造を確認する必要があります。これは、以下に示すように5つのステップに分かれています-

  • エントリーポイント
  • 分布
  • エクスプロイト
  • 感染
  • 実行

上記の点を詳細に理解しましょう。

エントリーポイント

マルウェアは多くの方法でシステムに入ることができます-

  • ユーザーは最近感染したお気に入りのWebサイトにアクセスします。 これは、マルウェアのエントリポイントになる可能性があります。
  • ユーザーがメールに記載されているURLをクリックすると、そのブラウザーがハイジャックされます。
  • マルウェアは、USBや外部ハードドライブなどの感染した外部メディアを介して侵入することもできます。

分布

このマルウェアは、トラフィックをエクスプロイトサーバーにリダイレクトするプロセスを開始します。このサーバーは、OS、ブラウザー、Java、Flashプレーヤーなどのアプリケーションをチェックします。

エクスプロイト

このフェーズでは、 exploit はOSに基づいて実行を試み、特権をエスカレートする方法を見つけます。

感染

これで、正常にインストールされたエクスプロイトはペイロードをアップロードして、アクセスを維持し、リモートアクセス、ファイルのアップロード/ダウンロードなどの被害者を管理します。

実行

このフェーズでは、マルウェアを管理するハッカーがデータの盗難、ファイルの暗号化などを開始します。

マルウェアの削除-タイプ

マルウェアは多様です。それらは異なる機能に由来し、さまざまな状況下で異なる動作をします。 最も悪名が高く危険なマルウェアのいくつかを以下に示します。

  • ウイルス
  • アドウェア
  • スパイウェア
  • トロイの木馬
  • ルートキット
  • ボットネット
  • 身代金

これらのそれぞれを詳細に理解しましょう。

ウイルス

ウイルスは、興味深い方法で動作するマルウェアプログラムです。 このプログラムは、自分自身のコピーを他のコンピュータープログラム、ブートセクター、データファイル、ハードディスクなどに入れて実行または複製します。 複製プロセスが完了すると、影響を受ける領域は感染した領域と呼ばれます。

ウイルスは、感染したときにホスト上で最も有害なアクティビティを実行するように構築されています。 CPU時間やハードディスクのスペースさえも盗むことができます。 また、データを破損し、システムの画面に面白いメッセージを表示する可能性もあります。

アドウェア

このソフトウェアは、主に広告支援ソフトウェアです。 内部に広告が自動的に付属するパッケージ。 したがって、それは所有者にいくらかの良い収入を生み出すことができます。

スパイウェア

スパイウェアは、主に特定の組織または個人に関する情報を収集するために使用されるソフトウェアです。 その情報は、その情報が自分のシステムから派生していることをだれも知らずに収集されます。

トロイの木馬

トロイの木馬は、自己複製しないタイプのマルウェアです。 これには、特定のトロイの木馬の性質によって決定されるいくつかのアクションを実行する悪意のあるコードが含まれています。 これは実行時にのみ発生します。 通常、アクションの結果はデー​​タの損失であり、多くの点でシステムに損害を与える可能性があります。

ルートキット

ルートキットは、ステルス型のマルウェアです。 それらは実際に非常によく隠れることができる特別な方法で設計されており、システムでそれらを検出することは非常に困難です。 通常の検出方法では機能しません。

ボットネット

ボットネットは、インターネットを介して接続されているコンピューターにインストールされるソフトウェアであり、他の同じ種類のプログラムと通信するのに役立ち、いくつかのアクションを実行できます。 それらは、インターネット関連のチャートであるいくつかのIRCの制御を維持することと同じです。 さらに、スパムメールを送信したり、サービス拒否攻撃の配信に参加したりするために利用できます。

身代金

ランサムウェアは、ハードドライブ上にあるファイルを暗号化するソフトウェアです。 そのうちのいくつかは、このプログラムを実行した人へのお金の支払いに関するメッセージを単に表示することさえできます。

ランサムウェア

マルウェアの削除-検出手法

一般的に、コンピューターが感染している場合、いくつかの症状があり、より単純なユーザーでも気付くことができます。

一般的なマルウェア検出手法

最も一般的に使用されるマルウェア検出手法の一部を以下に示します。

  • コンピューターにポップアップとエラーメッセージが表示されます。

一般的なマルウェア検出手法

  • コンピューターが頻繁にフリーズし、作業できません。
  • プログラムまたはプロセスが開始すると、コンピューターの速度が低下します。 これは、タスクマネージャーでソフトウェアのプロセスが開始されたが、まだ動作するように開かれていないことに気付くことがあります。
  • サードパーティは、ソーシャルメディアまたはあなたからの電子メールで招待状を受け取っていることを訴えます。
  • ユーザーの同意なしに、ファイル拡張子の変更が表示されるか、ファイルがシステムに追加されます。

症状

  • インターネットの速度が非常に優れていても、Internet Explorerが頻繁にフリーズします。
  • ほとんどの場合、ハードディスクにアクセスします。これは、コンピューターの点滅するLEDライトから確認できます。

LEDライトの点滅

  • OSファイルが破損しているか、欠落しています。

NSISエラー

  • コンピューターが帯域幅またはネットワークリソースを大量に消費している場合は、コンピューターワームの場合です。
  • 何のアクションも取っていなくても、ハードディスクの空き容量は常に占有されています。 たとえば、Mewプログラムのインストール。
  • ファイルとプログラムのサイズは、元のバージョンと比較して変化します。

マルウェアに関連しないエラー

次のエラーは、マルウェアのアクティビティとは関係ありません-

  • Biosのバッテリーセル表示、タイマーエラー表示など、Biosステージでシステムが起動している間のエラー。
  • ビープ音、RAM書き込み、HDDなどのハードウェアエラー。
  • 破損したファイルのようにドキュメントが正常に起動しない場合でも、それに応じて他のファイルを開くことができます。
  • キーボードまたはマウスはコマンドに応答しません。プラグインを確認する必要があります。
  • 点滅や振動など、頻繁にオンとオフを切り替えるモニターは、ハードウェア障害です。

次の章では、マルウェアの削除の準備方法を理解します。

マルウェアの削除-削除の準備

マルウェアは、いくつかのイベントを利用して、プログラムに自分自身を添付し、他のプログラムに送信します。 これらのイベントは、自分で起動したり、実行不可能なファイルを使用して自分自身を送信したり、他のネットワークやコンピューターに感染したりすることができないため、発生する必要があります。

削除フェーズの準備をするために、最初にマルウェアを殺すためにどのコンピュータープロセスがマルウェアによって使用されているかを理解する必要があります。 それらをブロックするためにどのトラフィックポートが使用されていますか? これらのマルウェアに関連するファイルは何ですか?したがって、それらを修復または削除する機会があります。 このすべてには、この情報を収集するのに役立つツールの束が含まれています。

調査プロセス

上記の結論から、いくつかの異常なプロセスまたはサービスが単独で実行される場合、可能性のあるウイルスとの関係をさらに調査する必要があることを知っておく必要があります。 調査プロセスは次のとおりです-

プロセスを調査するには、次のツールを使用して開始する必要があります-

  • fport.exe

  • pslist.exe

  • handle.exe

  • netstat.exe

    *Listdll.exe* には、使用されているすべての* dllファイル*が表示されます。 *netstat.exe* とその変数は、それぞれのポートで実行されているすべてのプロセスを示します。 次の例は、 *Kaspersky Antivirus* のプロセスをコマンドnetstat-anoにマッピングしてプロセス番号を表示する方法を示しています。 所属するプロセス番号を確認するには、タスクマネージャーを使用します。

Listdll.exe

Listdll.exeについては、https://technet.microsoft.com/en-us/sysinternals/bb896656.aspxからダウンロードし、実行しているDLLに接続されているプロセスを確認できます。中古。

次のスクリーンショットに示すように、CMDを開いてListdll.exeのパスに移動し、実行します。

listdll CMD

次のスクリーンショットに示すような結果が得られます。

Listdll結果

たとえば、PID 16320は dllhost.exe によって使用されており、左側に COM Surrogate という説明があります。 このプロセスで表示されているすべてのDLLが表示されており、グーグルで確認できます。

次に、Fportを使用します。これは、https://www.mcafee.com/hk/downloads/free-tools/fport.aspx#からダウンロードでき、サービスとPIDをポートにマップします。

PIDポート

サービスを監視し、それらが消費しているリソースの数を確認する別のツールは「プロセスエクスプローラー」と呼ばれ、次のリンクからダウンロードできます。https://download.sysinternals.com/files/ProcessExplorer.zip以降それをダウンロードするには、exeファイルを実行する必要があり、次の結果が表示されます-

プロセスエクスプローラー

マルウェア削除プロセス

この章では、あらゆる種類のマルウェアに感染したコンピューターのクリーニングプロセスを実行する方法を理解します。 以下の手順に従ってください。

  • ステップ1 *-まず、ネットワークからコンピューターを切断する必要があります。これは、ケーブル接続またはワイヤレス接続の場合があります。 これは、ハッキングプロセスがハッカーとの接続を失い、それ以上データが漏れ続けることがないようにするためです。
  • ステップ2 *-コンピューターを*セーフモード*で起動します。最低限必要なプログラムとサービスのみが読み込まれます。 Windowsの起動時にマルウェアが自動的に読み込まれるように設定されている場合、このモードに入ると、マルウェアが読み込まれない場合があります。 ファイルは実際には実行されていないかアクティブではないため、ファイルを簡単に削除できるため、これは重要です。

コンピューターをセーフモードで起動する

コンピューターをセーフモードで起動する方法は、Windows 7からWindows 10までさまざまです。 Windows 10 OSの場合、手順は次のとおりです-

ステップ1 *-キーボードの *Windowsロゴキー+ I を押して、設定を開きます。 それでも解決しない場合は、画面の左下隅にある[スタート]ボタンを選択し、[設定]を選択します。 [更新とセキュリティ]→[リカバリ]を選択します。

  • ステップ2 *-[詳細なスタートアップ]セクションで、[今すぐ再起動する]を選択します。
  • ステップ3 *-PCがオプションの選択画面に再起動したら、トラブルシューティング→詳細オプション→起動設定→再起動を選択します。
  • ステップ4 *-PCの再起動後、オプションのリストが表示されます。 4またはF4を選択して、セーフモードでPCを起動します。 インターネットを使用する必要がある場合は、ネットワークでのセーフモードに5またはF5を選択します。

スタートアップ設定

一時ファイルを削除する

一時ファイルを削除します。 これを行うと、ウイルススキャンが高速化され、ディスク領域が解放され、マルウェアも削除されます。 Windows 10に含まれている Disk Cleanup Utility を使用するには、検索バーに Disk Cleanup と入力するか、[スタート]ボタンを押して表示されるツール– Disk Cleanupを選択します。

ディスククリーンアップ

関連するマルウェアプロセスを停止する

関連するすべての悪意のあるプロセスの終了を試みます。 これを行うには、Rkillを使用します。これは、次のリンクから簡単にダウンロードできます。http://www.bleepingcomputer.com/download/rkill/[www.bleepingcomputer.com/download/rkill/]

マルウェアプロセス

マルウェアスキャナーをダウンロードしてスキャンを開始する

コンピューターで既にウイルス対策プログラムがアクティブになっている場合、現在のウイルス対策ソフトウェアがマルウェアを検出していない可能性があるため、このマルウェアチェックには別のスキャナーを使用する必要があります。 よく知られているウイルス対策ソフトウェアのほとんどは、次のスクリーンショットに示されています。

マルウェアスキャナ

マルウェアの削除-保護

ウイルスは、未知の人からの電子メールが添付されたファイルをクリックしたり、スキャンせずにUSBを接続したり、安全でないURLを開いたりするなど、コンピュータユーザーの支援によってのみ外部のマシンに感染することを理解する必要があります。 このような理由から、システム管理者として、コンピューターのユーザーの管理者権限を削除する必要があります。

マルウェアをシステムに侵入させるための最も一般的な禁止事項のいくつかは次のとおりです-

  • 知らない人や、疑わしいテキストを含む知られている人からのメールの添付ファイルを開かないでください。
  • ソーシャルメディアで未知の人からの招待を受け入れないでください。
  • 未知の人または奇妙な形の既知の人から送信されたURLを開かないでください。

システムを最新の状態に保つための他の重要なポインタは次のとおりです-

  • 定期的にオペレーティングシステムを更新してください。

Windows Update

  • ウイルス対策ソフトウェアをインストールして更新します。

ウイルス対策ソフトウェア

サードパーティから取得したリムーバブルストレージは、更新されたウイルス対策ソフトウェアでスキャンする必要があります。 また、次の側面も確認してください。

  • モニターがスクリーンセーバーを使用しているかどうかを確認します。
  • コンピューターのファイアウォールがオンになっているかどうかを確認します。
  • 定期的にバックアップを行っているかどうかを確認してください。
  • 役に立たない共有があるかどうかを確認します。
  • アカウントに完全な権限があるか、制限されているかを確認してください。
  • 他のサードパーティソフトウェアを更新します。

マルウェアリスクの管理

マルウェアリスクの管理は、主に単一のコンピューターユーザーに準拠していない企業を対象としています。 マルウェアに起因するリスクを管理するには、使用されている技術を受け入れるいくつかの重要な要素がありますが、人的要因もあります。 リスク管理は、マルウェアのリスクを特定し、それらがビジネスプロセスに与える可能性のある影響に従って優先順位を付ける分析と関係しています。

中規模のビジネス環境でマルウェアのリスクを軽減するには、次の点を考慮する必要があります-

  • 一般的な情報システム資産
  • 一般的な脅威
  • 脆弱性
  • ユーザー教育
  • リスク管理とビジネスニーズのバランス

次の章では、いくつかの重要なマルウェア除去ツールについて学習します。

マルウェアの削除-ツール

前の章では、マルウェアとは何か、それらがどのように機能し、どのようにそれらをきれいにするかについて議論しました。 ただし、この章では、マルウェア対策またはウイルス対策として分類される自動保護のもう一方の側面について説明します。 前の章で見たように、マルウェアの数は結果として指数関数的に増加しており、それらを検出することは不可能であるため、最近このソフトウェアの使用は非常に重要です。

各マルウェア対策プロデューサーには、マルウェアの検出方法に関する独自の技術と技術がありますが、新しいマルウェアの検出でほぼ毎日更新が行われるため、検出が非常に高速であることに言及する価値があります。

最も世界的に有名で効果的なアンチマルウェアまたはアンチウイルスのいくつかを以下に示します-

  • マカフィースティンガー
  • HijackThis
  • Malwarebytes
  • カスペルスキーエンドポイントセキュリティ10
  • パンダ無料アンチウイルス
  • Spybot Search&Destroy
  • Ad-Aware Free Antivirus
  • AVGアンチウイルス2016
  • SUPERAntiSpyware
  • マイクロソフト・セキュリティ・エッセンシャルズ
https://www.finddevguides.com/index.php?title=Malware-removal-quick-guide&oldid=79098」から取得
Powered by MediaWiki