水無月ばけらのえび日記

検疫したファイルがまた検疫される

公開: 2009年6月27日1時40分頃

「ウイルス定義ファイル更新時に検疫フォルダをスキャンすると Auto-Protect で DWHxxxx.tmp が検出される (service1.symantec.com)」。

Symantecのアレには怪しいファイルを「検疫」して隔離する機能があるのですが、パターンファイル更新の際、謎のウィルスが検出されて検疫されることがあるというお話。どうもこういうことのようで……。

• パターンファイル更新時、過去に「検疫」したファイルをもう一度チェックしようとする。
• 検疫済みファイルには普通にはアクセスできないので、チェックのためにいったん取り出して、テンポラリファイルとして保存する。
• すると、そのテンポラリファイルが検疫される。

過去のパターンで検疫したファイルは、新しいパターンでは異なるウィルスとして検出される可能性もあります。ですから再チェックしようとするのでしょう。それ自体は納得できますが、チェックのためには検疫から取り出す必要があるわけです。取り出すと、その瞬間に「ウィルスに感染したファイルがハードディスクに保存された」ということになりますから、Auto Protectが有効だと、その瞬間にまた検疫されることになります。

……まあ、ある意味、正しい挙動のようにも思いますが……。普通に見ると、また新たなウィルスが検出されたようにしか見えないわけです。この時検疫されるのはあくまでテンポラリファイルなので、最初に検疫されたときとは異なるファイル名になっていたりして、混乱に拍車をかけます。検疫済みファイルの一覧にはファイル名だけでなく、ファイル内容のハッシュ値なんかを表示してくれると分かりやすいのかもしれません。

• 「検疫したファイルがまた検疫される」にコメントを書く

関連する話題: セキュリティ / シマンテック