マルウェア-削除ツールは受け入れられますか、それともベアメタルの再インストールが唯一の安全なオプションですか?
「マルウェアの削除」サービスを提供している会社がたくさんあります。感染したマシンからマルウェアを削除できると主張するソフトウェアがいくつかあります。
駆除ソフトウェアツールを使用して感染したマシンを「クリーニング」することは許容できる方法ですか、それともマシンを再フォーマットしてデータを完全にチェックした後で慎重にデータを復元する唯一の安全な方法ですか?
除去ツールが実際に実行可能なオプションかどうかは、問題のマルウェアに大きく依存します。上記のツールが機能するかどうかは、ツールの作成者が元のマルウェアとそれが何をしたのかをどの程度知っているかに依存します。
私のポイントを説明するために、オートランのようなものを見てみましょう。選択した実行可能ファイルをWindowsの起動時に実行するには、autotoolsが主に表示する方法がたくさんありますが、平均的なソフトウェアエンジニアの標準的な選択肢は2つだけです。マルウェアの作成者は、他の多くの領域、または複数の領域を簡単に使用して、再起動後もずっと永続的にすることができます。
次は、Windowsレジストリへのダメージです。たとえば、.exeファイルの処理は実際にはレジストリエントリによって示されるため、単純に元に戻した場合にシステムに損傷を与える可能性がある攻撃ポイントがあります。同様に、Word文書などの他の一般的な拡張子についても同様です。問題は、駆除ツールの作成者は、ウイルス感染前のこれらの値を知っているかということです。ツールはこれらの変更も検出しますか?インターネットエクスプローラーへのプラグインのロードなどによってトリガーされる、このようなルートで再インストール可能なマルウェアの実行ファイルを簡単に隠すことができます。
次に、回復が最も困難です。もし、あなたが所有するさまざまなファイル全体でウイルスが踏みにじられ始めたらどうなるでしょうか。この方法でウィンドウの一部、またはユーザーデータとプログラムにパッチを適用し、それ自体のコピーを保存することは完全に可能です。つまり、これが行われたことを確認し、破損したファイルを検索するか、すべてのファイルをスキャンしてペイロードをスキャンする必要があります。 。自己修正する場合はさらに難しくなります。これらのペイロードのいずれかがトリガーされた場合、再インストールが可能性があります。
最後のケースは古いルートキットで、感染を駆除プログラムから隠すことができます。頑張ればルートキットを検出する方法はいくつかありますが、それはかなり簡単なことではありません。
また、この段階で、コンピューターの駆除/駆除を提供するWebサイトは、マルウェア作成者にとって優れた攻撃経路であることも指摘しておきます。 Mr So and Soとして自己紹介するメールは£850,000 USDであり、たまたま贈りたいと思っているのは、明らかにほとんどの人にとって詐欺ですが、コンピューターは平均的な家に正当に見える方法で「警告、あなたはウイルスに感染しています」と言っています。ユーザーとあなたがそれを知る前に、彼らは言った「製品」をインストールしました。彼らは、ここで詐欺を実現するための技術的な専門知識を必ずしも持っているわけではありません。
評判の良いベンダーからのものでない限り、私は言ったクリーニングツールやサービスを信頼しません。
保険業界では、修理や修理の費用が交換費用よりも高い場合に、「償却」という用語を使用します。私の考えでは、マルウェアの「良い」(非常に効果的な)部分が実行できるオペレーティングシステムへのダメージを元に戻すことは、感染について学び、マルウェアの動作。だから私はすべての可能性でインストールを書き留めるでしょう。
とはいえ、一部のマルウェアはかなり単純で、システムに与える影響はそれほど大きくありません。その場合は、駆除ツールで十分です。問題は、それが実際には単なるマルウェアの一部であることを知っていることです。
更なる更新:this.joshのコメントに基づく-私が個人的に見た多くのマルウェアは、除去するのが非常に難しいほど高度ではありません。ただし、感染したPCでよく見られる傾向は、PCが複数のマルウェアに感染し、すべてが異なることを行うというものです。多くの場合、単一の初期感染は、これを行うために完全に構築されているようです。それらすべてを追跡し、それらが全体の一部であるか、別のエンティティであるか、およびそれらがどのバリアントであるかを推定することは、さまざまな評判の良いベンダーでフルタイムのマルウェアアナリストを採用し続ける時間のかかるプロセスです。したがって、私が個人的に見つけた「マルウェアの削除」ツールについて2つの質問があります。
- 彼らの作者は、シマンテック、マカフィーなどと同じレベルのマルウェアの除去の経験を持っていますか?
- 作成者がマルウェアを分析するのに同じ時間を費やしましたか?逆アセンブラツールの使用方法は知っていますが、逆アセンブルで何かがうまくいくプロセスは、専門家であっても、学ぶのに時間がかかり、実行に時間がかかるプロセスです。私はそれが得意ではないので知っています。
「銀の弾丸」ソリューションのように見えるものが信じられない。
明らかにこれには注意が必要です。ウイルスクリーナーを提供している評判の良い企業(時々発生します)は機能する可能性が高く、悪意がある可能性は低いです。それは、あなたがツールの作者をどれだけ信頼しているか、そしてあなたが彼らがそうであると彼らが言う本人であるかどうかについて、判断を下すことです。ただし、一部のマルウェアは評判の良いマルウェア対策製品を無効にできることはよく知られていますが(一般的ではありません)、予防することは、治療するよりも常に望ましい方法です。
あなたがそれを起こしたという不幸をこれまでに持っていたならば、それを強盗と比較してください。テレビのように、明らかに欠けているものがあります。ただし、不足しているものや適切でないものの完全なリストを提供することは非常に困難です。Xを使用したのでしょうか、それとも誰か他の人の家に置いただけですか。または車の中で? Yはどこ?同じことがマルウェアにも当てはまります。特に泥棒と同じように、マルウェアの各部分が異なるため、行われた被害の完全な説明は困難です。泥棒と同様に、マルウェアには自動実行メソッドをターゲットにするなどの一般的な特徴があり、侵入があったことは明らかですが、私が言うように、すべてを完全に把握することは困難です。
マシンの重要度によって異なります。他の人が別の言い方をすることは知っていますが、自分のマシンでは、何かおかしいことが起こっていると思うときは、常に最初から再インストールします。 AVスキャナーが特定の日にマルウェアの約50%しか拾わないことを考えると(統計は変化する可能性がありますが、いずれにしても悪いことです)、私も少なくとも少しは削除ツールに疑いがあると思います。
「所有」の程度があると思われる場合は、マルウェアに依存しているとも言えます。ただし、攻撃者が特権を持たないアカウントから簡単にエスカレートできるように思われる場合は、確信が持てません。その概念は私自身です。
ちなみに、マルウェアがアクセスする可能性があるVMゲストを再インストールすることを検討してください。感染したホストのゲストを含め、感染したコンピュータにも入力されたパスワードを変更します。
既に述べたように、この質問には他にも妥当な答えがありますが、ボックスがかなり感度が低く、感度の高いリソースへのアクセスに使用されない限り、おそらく再インストールするだけです。
私の意見では、ベアメタルはそれです。私はそれをすべて得るための除去ツールを信頼していません。これは簡単に実証できます。米国国防総省でさえ、安全なリモート操作のために読み取り専用メディアを使用しています。彼らの理論では、すべての安全なトランザクションの前に再起動します。私は完全に同意し、何年もこれを提唱してきました。
どちらも安全なオプションではありません。
ときどき動作する、または特別な条件下で動作する(クリーンなデバイスから実行した場合)削除ツールについて説明する必要はありません。
ただし、感染したシステムを復元するため、少なくとも1つの主な脆弱性が残ります。システムとそのアプリケーション、または動作-おそらく両方です。