> >

Virex のアクティブスキャンを試してみました。ウィルス対策ソフトウェアの評価用にとっといたウィルスが多数あるのでそれを用いました。ちょっと古い Windows のウィルスですが用いたのは W32/Swen@MM と Exploit-MIME.gen.exe というウィルスです。

まず、W32/Swen@MM を含んだメールから Q371742.exe という添付ファイル -- つまりウィルス本体 -- をとりだしてデスクトップに置きました。すると次のようなアラートが一瞬のうちに表示されました。

良好ですね。きちんと検知しています。では、これを「クリーン」してみましょう。

ちゃんと削除されました。お利口です。

次にこのウィルスを運んできたメールそのものをデスクトップに保存してみます。

ちゃんと検知しました。それでは「クリーン」してみましょう。

今度はクリーンできませんでした。それもそのはずです。ウィルスそのものはメールファイルの中に入っていますから、メールファイルそのものを書き換るかメールファイルそのもを削除しなければなりません。恐らくメール本文には本当のメッセージがあってウィルスがこっそり付いている場合も考慮してのことでしょう。この場合は「ゴミ箱に移動」でメールファイルそのものをゴミ箱に捨てることしかできませんでした。ゴミ箱に捨ててもディスクの中には残っているのでさっさとゴミ箱を空にして本当に捨ててしまいましょう。同じようにメールに入っているウィルスでも「クリーン」でメールファイルごと削除することができるものもあります。

ここまでは、ログインしているユーザで行いました。それでは別なユーザでやってみます。私の PowerBook には普通のユーザは私しか登録していないので、ここは root でやってみます。今度使用するのは Exploit-MIME.gen.exe の方です。

別なマシンで Exploit-MIME.gen.exe を含むメールファイルを保存しておき、それを PowerBook に root で /tmp (システムの一時ファイル置き場) に保存してみました。しかしなんの反応もありません。

今度は同じメールファイルを root で私個人のデスクトップにコピーしました。すると次のようなアラートが表示されました。

このファイルのオーナーは root です。そして root のみが書き込みできます。ただしデスクトップに置いたのでそのファイルが置いてあるディレクトリ(フォルダのこと)自体は私の権限で書き換えられます。では「クリーン」してみましょう。

無事メールファイルごと削除されました。このウィルスはアップデートされていない Windows の Outlook Express などで表示しただけで感染するウィルスです。メールファイルがあること自体が邪悪なのでクリーンするとメールファイルを削除するようになっているのかもしれません。

この二つの事例から Virex 7.5 のアクティブスキャンはハードディスク内全てを監視対象にはしていないことがわかります。恐らくログインしているユーザのホーム以下を監視しているのかもしれません。

先ほどはウィルスを含んだ root がオーナーのメールファイルを直に私がオーナーのディレクトリに置きました。だから削除できた可能性もあります。そこで今度は root がオーナーのメールファイルを含んだディレクトリごと私の Docuements フォルダーにコピーしてみました。するとアラートが表示されたので「クリーン」してみました。
この test というディレクトリはオーナーである root のみが書き込めるように設定してあります。それでもちゃんと削除されました。

このことから Virex 7.5 のアクティブスキャンは root 権限で動作していることがわかります。つまり、Mac の別なユーザ(root など)名義でウィルスが置かれてもちゃんとブロックしてくれるということです。

さて Virex 7.5 のアクティブスキャンを試してわかった二つのことから、/tmp などログインしているユーザと直接関係のないディレクトリにウィルスが置かれても検知することができないが、ログインしているユーザの(恐らくホーム以下の)ディレクトリならばちゃんとブロックしてくれる。したがって大抵の場合は Virex 7.5 のアクティブスキャンはうまく動作しますが、抜け道があるということです。

ですから、ときどきハードディスク全体を能動的にスキャンしなければなりません。何らかの方法でホームじゃないところにこっそりウィルスが置かれてしまうかもしれないからです。