不審なファイルがシステムに侵入し、ファイルを調査した結果、未知の脅威であったことが確認できたが、ウイルス定義ファイルへの登録が行われていないため、Symantec Endpoint Protection (SEP) のウイルス対策機能で対処ができない。
SEP のアプリケーションとデバイス制御の機能を利用して、ウイルス定義ファイルに登録される前に感染の拡大を防ぎたい。

ご注意:
脅威の中には感染を行うためにファイルを変異、変化させるタイプが存在します。このような挙動はファイルのフィンガープリント (ハッシュ値) も変化させることになるため、この文書内で紹介している手順は、すべての脅威に対して等しく有効とはならない場合もあります。

ファイルハッシュ値の生成

最初に行うべき手順は、脅威の MD5 ハッシュ値の特定です。
MD5 値の特定は、Microsoft 社の File Checksum Integrity Verifier (FCIV) を利用する、threatexpert のレポート機能を利用する等、いくつかの方法で特定することが可能です。

SEP では Checksum.exe というツールを提供しています。
Checksum.exe の利用方法の詳細は、以下の技術文書で紹介しています。

checksum.exe を使ったファイルフィンガープリントリストの作成 -- 文書番号 : HOWTO81199
 

ポリシーの編集

MD5 値の確認が完了した後に、特定ファイルの起動ができないようにアプリケーションとデバイス制御ポリシーを編集することで、感染活動の拡大を防くことができます。
特定の脅威の動作をブロックするための新規アプリケーションとデバイス制御ポリシーの作成方法と、クライアントへの適用方法は以下の通りです。

  1. SEPM コンソールにログインします。
  2. [ポリシー] を選択します。
  3. [アプリケーションとデバイス制御ポリシー] を選択します。
  4. 画面下部の [タスク] から、[アプリケーションとデバイス制御ポリシーを追加する] を選択します。
  5. 画面上部左側の [アプリケーション制御] を選択します。
  6. [追加] を選択します。
  7. [ルール] セクションの下にある [追加] を選択します。
  8. [条件の追加] > [プロセス起動の試み] の順に選択します。
  9. [次のプロセスに適用する:] の右側にある [追加] を選択します。
  10. [オプション] ボタンを選択します。
  11. [ファイルフィンガープリントを照合する] のラジオボタンにチェックを入れます。
  12. 対象とするファイルの MD5 値を入力します。
  13. [次の引数を伴うプロセスのみを照合する] にチェックを入れ、フィールドに * と入力し、 [正確に一致] のラジオボタンにチェックを入れます。
  14. [OK] を選択して画面を閉じます。
  15. [ポリシーの割り当て] のダイアログボックスで [はい] を選択します。
  16. ポリシーの割り当て対象とするグループにチェックを入れ、[割り当て] > [はい] を選択して割り当てます。

 

Description:

Microsoft KB 841290
http://support.microsoft.com/kb/841290

ご意見ありがとうございます。以下にコメントがある場合はお知らせください。(ログインが必要です)

    © 1995-2019 Symantec Corporation