マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話

お問い合わせ履歴

電話(英語)

+7 (495) 789-45-86

Profile

予防的保護

未知の脅威から保護します。

Dr.Web予防的保護に用いられるテクノロジーの複合体が、最新の非シグネチャー(挙動分析)型手法を導入することによって、従来のシグネチャーベースのDr.Webプロテクションを補完します。Dr.Web予防的保護の使用で、次のことが可能となります。

  • アンチウイルスラボでまだ分析されておらず、侵入時点でDr.Webにとって未知であるため、従来のシグネチャーベースの分析およびヒューリスティックルーチンでは検出されない、大量の新しいマルウェアからシステムを保護します。
  • マルウェア(例えば、ランサムウェア)固有の行動パターンを抽出するために、システム内の全プロセスを監視し、ファイル改ざんを検知することによって、マルウェアによる他プログラムへの進入を防止します。
  • Dr.Webウイルスデータベースに追加されていない最新の脅威を検出し、駆除します(例えば、暗号化ランサムウェア、インジェクター、ボットネット形成やスパイ活動を狙う遠隔操作される悪意のあるオブジェクトおよびウイルスパッカー)。

Dr.Web for Windowsの予防的保護設定

各設定を切り替えることによってどのようなメリットがあるか詳しく見てみましょう。

HOSTSファイル

このファイルでは、ホストのドメイン名とIPアドレスとの関係を定義できます。HOSTSファイルの処理は、DNSサーバーへのアクセスよりも優先されます。サイバー犯罪者は、HOSTSファイルを使用して、アンチウイルス企業のWebサイトへのアクセスをブロックし、ユーザーを偽のサイトにリダイレクトできます。

Dr.Webは、マルウェアがHOSTSファイルを変更し、ユーザーをフィッシングリソースにリダイレクトするのを防止します。

実行中のアプリケーションの整合性

プロセスとは、コンピューターのRAM上にある一連のリソースとデータのことです。あるプログラムのプロセスが別のプログラムのプロセスを変更することがあってはなりません。しかし、悪意あるプログラムについてはどうでしょうか。 たとえば、Trojan.Encoder.686 (CTB-Locker) はこのルールを破ります。

#drweb

Dr.Webは、マルウェアが他のプログラムのプロセスに注入されるのを防止することで (たとえば、トロイの木馬が電子バンキングシステムにアクセスするためにブラウザーのプロセスを変更するのを禁止します) 、マルウェアがその機能を完全または部分的に実装するのを阻止します。

ディスクへの低レベルアクセス

Windowsが正常に動作している場合、ファイルへのアクセスは、オペレーティングシステムによって制御されているファイルシステムを参照して行われます。MBRを変更するトロイの木馬ブートキットは、Windowsファイルシステムをバイパスし、特定のディスクセクターにアクセスして、直接ディスクにアクセスします。MBRに注入されたトロイの木馬を検出して無力化するのは非常に困難です。

#drweb

Dr.Webは、マルウェアがMBRを変更するのを防止し、トロイの木馬がシステムで起動されないようにします。

#drweb

ドライバのロード

多くのルートキットは、自身のドライバとサービスを秘密裡に起動してシステム内に潜伏し、ログインやパスワード、その他の識別情報をサイバー犯罪者に送信するなど、不正なアクションを実行します。

Dr.Webは、新しい、または未知のドライバがユーザーの同意なしにダウンロードされるのを防ぎます。

アプリケーション起動パラメータ

Windowsレジストリには、任意のWindowsアプリケーションにデバッガー (プログラマーが作成したコードをデバッグしたり、デバッグ対象プロセスのデータを変更したりできるプログラム) を割り当てるために使用できるイメージ実行オプションキー (エントリー) が含まれています。システムプロセスやアプリケーション (Internet ExplorerやWindowsエクスプローラーなど) をデバッグするために割り当てられたマルウェアは、このキーを使用して、侵入者が興味を持つあらゆるものへのフルアクセスを取得できます。

#drweb

Dr.Webは、イメージ実行オプションレジストリキーへのアクセスをブロックします。
通常のユーザーは、アプリケーションを即時にデバッグする必要性は実際にはありません。また、イメージ実行オプションキーを使用するマルウェアは非常に危険です。

#drweb

マルチメディアデバイスドライバ

一部の悪意のあるプログラムは、実行可能ファイルを作成し、仮想デバイスとして登録します。

Dr.Webは、仮想デバイスドライバを管理するレジストリブランチをブロックし、新しい仮想デバイスをインストールできないようにします

Winlogonレジストリキー、Winlogon通知

Winlogon通知パッケージインターフェースは、ユーザーのログインとログアウト、オペレーティングシステムの有効化と無効化、およびその他いくつかのタスクに割り当てられたイベントを円滑に処理できるようにします。マルウェアは、Winlogon通知パッケージにアクセスすると、OSを再起動したり、コンピューターをシャットダウンしたり、ユーザーがOS環境にログインできないようにしたりできます。これはTrojan.Winlock.3020とTrojan.Winlock.6412の典型的なアクティビティです。

#drweb
#drweb

Dr.Webは、Winlogon通知パッケージを管理するレジストリブランチが変更されるのを防止し、マルウェアが新しいタスク (攻撃者が必要とするもの) をOSのロジックに追加するのを禁止します。

#drweb

Windowsレジストリのスタートアップキー

このオプションは、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]ブランチ内の複数のWindowsレジストリ設定を同時にブロックします。 たとえば、AppInit_DLL (プログラムの起動時に毎回指定されたDLLをダウンロードするようにWindowsに指示します) 、AppInit_DLL (ルートキットをWindowsに注入するために使用できます) 、Run (OSの起動後、プログラムを最小化した状態で実行するために必要です) 、IconServiceLib (デスクトップとアイコンを通常どおり画面に表示するために必要なパラメータであるIconCodecService.dllをダウンロードします) などです。

Dr.Webは、多数のWindowsレジストリ設定をブロックすることで、ウイルスが通常のデスクトップ表示を変更したり、ルートキットがトロイの木馬をシステム内に隠したりするのを防止します。

実行可能ファイルの関連付け

一部の悪意あるプログラムは、実行可能ファイルの関連付けを破壊し、プログラムが起動できないようにしたり、マルウェアによって制御される好ましくないプログラムが起動されるようにします。

#drweb

Dr.Webは、マルウェアがプログラムの起動ルールを変更できないようにします。

#drweb

ソフトウェア制限ポリシー (SRP)

Windowsでは、ソフトウェア制限ポリシー (SRP) を設定して、プログラムが特定のフォルダ (Program Filesなど) からしか起動できないようにし、それ以外のソースからのプログラムの実行を禁止できます。SRPの設定を管理するレジストリブランチをブロックすることで、設定済みのポリシーの変更が防止され、以前に実装した保護が強化されます。

Dr.Webの予防的防護を使用すると、メールやリムーバブルメディアを介してコンピューターに侵入し、一時ディレクトリなどから起動するマルウェアからシステムを保護できます。企業環境では、このオプションを使用することをお勧めします。

Internet Explorer用のブラウザーヘルパーオブジェクト (BHO)

この設定を使用すると、Internet Explorer用の新しいプラグインのインストールを防止できます。これは、該当するレジストリブランチをブロックすることによって行われます。

#drweb

Dr.Webは、ブラウザーブロッカーなどの悪意のあるプラグインからブラウザーを保護します。

#drweb

プログラムのオートラン

プログラムのオートランを管理するいくつかのレジストリブランチに対する変更を禁止します。

Dr.Webは、悪意のあるプログラムが次回以降の起動のためにレジストリに登録しようとする試みを阻止することで、それらのプログラムのオートランを防止できます。

オートランポリシー

このオプションは、ユーザーのログイン時に任意のプログラムを実行できるようにするレジストリブランチをブロックします。

#drweb

Dr.Webは、アンチアンチウイルスなどの特定のプログラムのオートランを防止できます。

#drweb

セーフモードの構成

一部のトロイの木馬は、Windowsのセーフモードを無効にし、コンピューターの修復をより困難にします。

Dr.Webは、レジストリに対する変更をブロックし、セーフモードがオフに切り替えられるのを防止します。

セッションマネージャーのパラメータ

このオプションは、Windowsセッションマネージャー (オペレーティングシステムが安定して動作するために必要なシステム) の設定を保護します。このような保護がない場合、悪意のあるプログラムは、環境変数を初期化したり、多数のシステムプロセスを実行したり、システムが完全にロードされるまでの間にファイルを削除、移動、コピーする操作を実行したりできます。

#drweb

Dr.Webは、オペレーティングシステムが完全にロードされる前、つまりアンチウイルスが動作を開始する前に、マルウェアがオペレーティングシステムに侵入するのを防止します。

#drweb

システムサービス

このオプションは、システムサービスの正常な動作を確保するレジストリパラメータが編集されるのを防止します。一部のウイルスは、レジストリエディターをブロックし、ユーザーの通常の作業を複雑にすることができます。たとえば、コンピューターにインストールされているプログラムへのショートカットをデスクトップから消去したり、ファイルを移動できないようにしたりできます。

Dr.Webは、マルウェアがオペレーティングシステムサービスを無効化できないようにします。たとえば、マルウェアがファイルの定期的なバックアップを妨害するのを防止します。

Dr.Web for Windowsの予防的保護の設定モード

ユーザーは、「最適」 (デフォルトの設定) 、「中」、「パラノイド」、「ユーザー」の4つの設定モードを使用できます。

#drweb

最適モードでは、悪意のあるソフトウェアによって使用され、ブロック可能な (レジストリスレッドに対する変更をブロックできる) レジストリスレッドのみを、コンピューターリソースの消費を抑えつつ保護します。

予防的保護モードのレベルを上げると、Dr.Webのウイルスデータベースに登録されていないマルウェアプログラムに対するシステムの警戒度が上がりますが、それと同時に予防的保護によって生じる制約と実行中のアプリケーションのニーズが競合するリスクが高まります。

#drweb