8月7日に受信したBKDR_ANDROM.JNQだったワームをウイルスバスターに検出させ直したところ、BKDR_SHELL.XWUAになっていました。
私はお盆前は8月10日まで出勤していたので、定義ファイルリリース日の8月9日と辻褄が合いません。休み明けの20日に初めて検出できたのですから。
ログを見ると20日の検出時の記録までBKDR_SHELL.XWUAになっていました。インデックス番号か何かの情報がずれでもしたか、それともトレンドマイクロは記録の改竄までするのか。
試しにMicrosoft Security Essentialsを入れたところ、7日のワームも22日に受信したワーム(翌23日になってもウイルスバスターは無反応)も、共にWin32/Gamarue.Iと検出しました。
業務規則上ウイルスバスターは外せないので、両方が検出すると競合(ファイルの奪い合い)が起こってしまいます。とりあえずMSEのリアルタイム検出を無効にして入れておくことにしました。
で、MSEといえば定義ファイルの更新がかかりにくいので、タスクから更新コマンドを叩くのが定番です。私も作ってみました。「最上位の特権で実行する」が必要です。
MSEUpdate.zip
MSEのパスはレジストリから取り出しています。見つからなかったらイベントログにエラーを記録して終了。レジストリの場所にMpCmdRun.exeがない場合、64ビット版Windowsで32ビットプロセスから呼ばれた場合がそれですが、こちらはエラー表示のみとしています。
私はお盆前は8月10日まで出勤していたので、定義ファイルリリース日の8月9日と辻褄が合いません。休み明けの20日に初めて検出できたのですから。
ログを見ると20日の検出時の記録までBKDR_SHELL.XWUAになっていました。インデックス番号か何かの情報がずれでもしたか、それともトレンドマイクロは記録の改竄までするのか。
試しにMicrosoft Security Essentialsを入れたところ、7日のワームも22日に受信したワーム(翌23日になってもウイルスバスターは無反応)も、共にWin32/Gamarue.Iと検出しました。
業務規則上ウイルスバスターは外せないので、両方が検出すると競合(ファイルの奪い合い)が起こってしまいます。とりあえずMSEのリアルタイム検出を無効にして入れておくことにしました。
で、MSEといえば定義ファイルの更新がかかりにくいので、タスクから更新コマンドを叩くのが定番です。私も作ってみました。「最上位の特権で実行する」が必要です。
MSEUpdate.zip
MSEのパスはレジストリから取り出しています。見つからなかったらイベントログにエラーを記録して終了。レジストリの場所にMpCmdRun.exeがない場合、64ビット版Windowsで32ビットプロセスから呼ばれた場合がそれですが、こちらはエラー表示のみとしています。
コメントする