発見日: August 08, 2001
更新日: July 07, 2010 8:56:11 AM
感染サイズ: 不定
影響を受けるシステム: Windows

Downloader は、コンテンツをダウンロードするという共通の主機能を持つ有害なソフトウェアプログラムを識別するためにシマンテックで使用される検出名です。

ダウンロードされる内容は、サンプルによって異なります。次のアイテムで構成される可能性がありますが、それ以外のアイテムが含まれることもあります。

  • 設定と命令情報
  • 有害なファイル
  • ペイパーインストール(pay per install)に関連したその他の脅威またはセキュリティリスク
  • 有害なアプリケーション
  • 既存の攻撃の派生コンポーネントまたはアップグレード版

ほとんどのダウンローダは、ローカルのネットワークではなくインターネットからコンテンツをダウンロードしようと試みます。ダウンローダが主要機能を実行するためには、セキュリティ保護が万全とは言えない、ネットワークに接続されたコンピュータ上で実行する必要があります。十分に保護されたコンピュータは、ダウンローダの実行を阻止するか、ネットワークリソースへの不正アクセスを阻止するため、攻撃の遂行が阻止されることになります。

シマンテック製ウイルス対策製品でこの脅威の検出警告が表示される場合、コンピュータは保護されていて、シマンテック製品によってこの脅威が駆除されることを意味します。

ウイルス対策日

  • Rapid Release 初回バージョン June 11, 2001
  • Rapid Release 最新バージョン April 23, 2018 リビジョン 025
  • Daily Certified 初回バージョン June 11, 2001 リビジョン 007
  • Daily Certified 最新バージョン April 23, 2018 リビジョン 024
  • Weekly Certified 初回リリース日 June 13, 2001

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Hon Lau

発見日: August 08, 2001
更新日: July 07, 2010 8:56:11 AM
感染サイズ: 不定
影響を受けるシステム: Windows

Downloader は、コンテンツをダウンロードするという共通の主機能を持つ有害なソフトウェアプログラムを識別するためにシマンテックで使用される検出名です。


基本情報

従来、ソフトウェアの配布は、CD や DVD などの物理的なメディアを介してソフトウェアインストーラをユーザーが利用できるようにしていました。メディアに十分な容量があれば、ソフトウェアアプリケーションに必要なすべてのファイルを含むフルインストーラが提供されていたことを意味します。

インターネットの出現により、ネットワークを介して配布されるソフトウェアが増加するようになりました。帯域幅の制限や、頻繁なソフトウェア更新のため、フルインストーラの代わりにスタブインストーラを配布することが、帯域幅の観点からよりエコノミカルになり、ダウンロードが必要なコンテンツ量は少なくなりました。ソフトウェアのインストールとコンポーネントのカスタマイズを行う前に数百メガバイトをダウンロードする代わりに、ユーザーは数百キロバイト程度の小さいファイルをダウンロードするだけで済みます。スタブインストーラが実行され、ユーザーによる選択が終わると、スタブインストーラは必要なコンポーネントの最適化リストを決定します。対照的に、パッケージの全コンポーネントのダウンロードでは、ほとんどの場合不要です。このような理由から、スタブインストーラプログラムは、多くの正規ソフトウェアアプリケーションで広く利用されています。

マルウェアのダウンローダは、同様に機能し、主流のソフトウェア業界からテクニックをコピーします。マルウェアのダウンローダは、攻撃者に魅力的な不正手段と倹約術を提供します。スタブダウンローダファイルは、ダウンロードに時間がかかる大きなインストーラパッケージが使用される場合よりも、ユーザーに気付かれることなくインストールされる可能性が高いと考えられます。さらに、攻撃がより小さなコンポーネントに分割されて連鎖的に行われる場合は、失敗する危険性は分散されます。

ウイルス対策ソフトウェア製作者のアクションに従って、連鎖攻撃のダウンローダコンポーネントがウイルス対策ソフトウェアに検出された場合は、攻撃者は簡単に新しいダウンローダコンポーネントを作成して、それ以外の攻撃部分を再利用することができます。複数の攻撃コンポーネントがセキュリティソフトウェアによって検出される危険性は、1 つのファイルが使用される場合よりも低くなります。この戦略は、リスク分散型の 1 つで、一点集中型とは正反対です。

分散型コードコンポーネントを利用するというこの行動様式は、主流のソフトウェア提供者のソフトウェアとサービスを、「クラウド」と呼ばれる、ネットワークの世界に移行するという動向を反映しています。クラウドでは、機能やソフトウェアコンポーネントをローカルコンピュータに永久にインストールするのではなく、必要に応じてダウンロードしたりアクセスすることが可能です。


ダウンローダの作成者
ダウンローダは、あらゆる種類のマルウェア作成者によって作成されます。低コストかつ低リスクで、簡単に再利用が可能なマルウェアの配布手段を提供します。そのため、多くのマルウェアベースの攻撃で広く使われています。


ダウンロードされるもの
ダウンロードされる内容は、サンプルによって異なります。次のアイテムで構成される可能性がありますが、それ以外のアイテムが含まれることもあります。

  • 設定と命令情報
  • 有害なファイル
  • ペイパーインストール(pay per install)に関連したその他の脅威またはセキュリティリスク
  • 有害なアプリケーション
  • 既存の攻撃の派生コンポーネントまたはアップグレード版


ダウンロード元

ほとんどのダウンローダは、ローカルのネットワークではなくインターネットからコンテンツをダウンロードしようと試みます。通常、ダウンローダには、何らかの形で URL が自分自身のコードに直接埋め込まれています。つまり、ダウンロードロケーションはあらかじめ設定されていることになります。反対に、コンテンツをダウンロードする機能を備えていても、ダウンロードロケーションを特定するためのパラメータまたはコマンドを必要とするダウンローダもあります。それらは、他の脅威によって投下され、その後、別のファイルをダウンロードするために使用される可能性があります。


痕跡
有害なソフトウェアに関連付けられたダウンローダは、一般に、レーダーをかいくぐって機能を実行する、小さな個別のプログラムです。つまり、コンピュータ上で実行されていることを示す明らかな形跡はほとんど見られません。この脅威による有効な帯域幅の使用によりネットワークのパフォーマンスが著しく低下する場合などは、ダウンローダが疑われることもあります。また、ファイルシステムに見慣れないファイルが見つかることもあります。ただし、それらがダウンローダが存在するという確証にはならないことに注意してください。


危険性
ダウンローダによる危険は無限ですが、通常、時間制限があります。事実上、ダウンローダはあらゆるものをダウンロードすることができるため、想定される被害範囲は、ダウンロードに成功したものに限定されるだけです。幸いにも、ダウンローダに関連付けられた有害サイトの多くは、閉鎖または削除されるまでの寿命が限定されています。これは、セキュリティソフトウェアによって検出されない場合でも、古いダウンローダは最小の危険性しかユーザーに与えないことを意味します。


危険性の最小化対策
基本対策として、ノートン アンチウイルス、ノートン インターネット セキュリティ、ノートン 360 または Symantec Endpoint Protection などのリアルタイム保護機能を備えた最新のウイルス対策ソフトウェアを常時実行するようにします。また、ファイアウォールや侵入防止システム (IPS) は、これらの種類の有害なプログラムによって開始されるダウンロードをブロックするのに役立ちます。Symantec Endpoint Protection などに搭載されているプログラム制御機能を利用すると、このようなプログラムの実行を阻止することができます。


追加情報
上級ユーザーは、Threat Expert にサンプルを提出して、この脅威によるシステムやファイルシステムへの変更に関する詳細なレポートを入手することができます。

記述: Hon Lau

発見日: August 08, 2001
更新日: July 07, 2010 8:56:11 AM
感染サイズ: 不定
影響を受けるシステム: Windows

以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズを含む、現在サポート対象のシマンテック製ウイルス対策製品をご利用のすべてのお客様を対象に記述されています。

  1. システムの復元機能を無効にする (Windows Me、XP)
  2. ウイルス定義を最新版に更新する
  3. システムの完全スキャンを実行する

各手順の詳細については、次を参照してください。

1. システムの復元機能を無効にする (Windows Me/XP)
Windows Me、XP をご利用の場合は、駆除作業前にシステムの復元機能を一時的に無効にします。システムの復元機能は、破損時のコンピュータファイルを復元する Windows Me、XP の機能の 1 つで、標準設定では有効です。コンピュータが、ウイルス、ワーム、トロイの木馬に感染した場合、システムの復元機能がそのバックアップファイルを (_RESTORE) フォルダに作成する可能性があります。

Windows は、ウイルス対策プログラムを含む外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由から、ウイルス対策プログラムおよび駆除ツールによるシステムの復元フォルダの感染ファイルの削除は不可能です。他のあらゆる場所で感染ファイルを削除した場合でも、このシステムの復元機能が感染ファイルを復元する可能性があります。

また、脅威が駆除された後でも、ウイルススキャンによってシステムの復元フォルダに脅威が検出されることがあります。

システムの復元機能を無効にする方法については、お手持ちの Windows のマニュアルまたは次の文書を参照してください。

注意: 駆除作業が終了し、脅威の駆除を確認したうえで、上記ドキュメントに記載の手順を実行してシステムの復元機能を有効に戻します。

追加の情報および Windows Me システムの復元機能の無効化以外の解決方法については、「マイクロソフトサポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法について 」を参照してください。

2. ウイルス定義を最新版に更新する
シマンテックセキュリティレスポンスから提供されるウイルス定義は、すべて品質テストを実施済みです。最新版のウイルス定義ファイルは、次の 2 つの方法で入手できます。
  • LiveUpdate を実行すると、簡単にウイルス定義ファイルを入手できます。
    Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上の製品をご利用の場合は、LiveUpdate の定義は毎日更新されます。これらの製品は、より新しいテクノロジーを搭載しています。

    Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご利用の場合は、LiveUpdate の定義は毎週更新されます。重大なアウトブレークの発生時には、例外として定義がより頻繁に更新されます。
  • Intelligent Updater を使ってウイルス定義ファイルをダウンロードします。Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することにより、ご使用のコンピュータのウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日(日本時間の火曜日~土曜日)に毎日更新され、LiveUpdate よりも早いタイミングで更新されます。

注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。ファイルサイズは、前回からの差分のみをダウンロードする LiveUpdate と比較して大型です。このため、LiveUpdate で定期的にウイルス定義ファイルを更新し、疑わしいファイルからウイルスを検知しないなどの場合には、Intelligent Updater を利用することを推奨します。Intelligent Updater のウイルス定義ファイルは、こちら からダウンロード可能です。手順の詳細は、「IntelligentUpdater を使ってウイルス定義ファイルを更新する方法 」を参照してください。

3. システムの完全スキャンを実行する
  1. シマンテック製ウイルス対策プログラムを起動して、すべてのファイルをスキャン対象に設定しているかどうかを確認します。
    個人のお客様向けの Norton AntiVirus 製品をご利用の場合 (パッケージ製品): 次の文書を参照してください。「すべてのファイルをウイルススキャンするように設定する方法

    企業、法人のお客様向けの Symantec AntiVirus 製品をご利用の場合 (ライセンス製品): 次の文書を参照してください。「NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法
  2. システムの完全スキャンを実行します。
  3. 何らかのファイルが検出された場合は、ご利用のウイルス対策プログラムが表示する手順に従ってください。
重要: ご利用のシマンテック製ウイルス対策製品が起動しない、または検出ファイルの削除が不可能であると報告するメッセージが表示される場合は、実行中のリスクを停止してから削除する必要がある場合があります。この場合は、コンピュータをセーフモードで再起動してスキャンを実行します。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法 」を参照してください。コンピュータをセーフモードで再起動した後、スキャンを再度実行します。
ファイルが削除された後、標準モードでコンピュータを再起動します。

記述: Hon Lau