カスペルスキーの「行動原理」が大体飲み込めた

カスペルスキーの「行動原理」が大体飲み込めた.およそ,以下のようなルールで動いているように思われる.

  1. 除外リストに登録されたフォルダ内のEXEはスキャンの対象としない
  2. EXEの入ったフォルダがコピーされた場合には,マークを付けて監視対象とする
  3. 完全スキャンでこのようなマーク付きEXEを発見したときには,削除対象とする
  4. フォルダのリネームは(多分)この監視の対象とはしない ただし,マーク付きのEXEは引き続きトラッキングの対象となる
  5. 削除対象EXEは除外リストに追加するか,ハッシュ値を計算することで監視対象から外れる
  6. 監視対象EXEが実行されるなどの異変が検出されたときには,完全スキャンを停止する(警告が出る場合もあり出ない場合もある)

従って,このような誤検出(ユーザ的見地からはどう見ても過剰反応のように感じる)を防止するためには,開発フォルダのコピー先をあらかじめ除外リストに登録しておく必要がある.また,除外リストの登録項目を無闇に増やさないためには,手操作で(と言っても計算は自動でやってくれるが)ハッシュ値の計算を実行しなくてはならない.

前日の「UDS:Trojan.Win32.FakeTC.cm」に関しては,おそらくカスペルスキーの過剰反応と見て間違いないものと思われるが,念のためこれに関わるすべての添付ファイルを削除した.というか,それも手が掛かり過ぎるので一部を除きThunderBirdの過去のバックアップをまとめて廃棄処分した.オリジナルのメールに残っている添付ファイルは,分離して別の場所に保管するようにしてみたが,警告がどうしても消えないので,そのアカウントのデータをまるごと外部に移管して対処した.

これで一応このところずっと尾を引いていた問題は基本的に解決したのではないかと思うが,なおしばらくは毎日完全スキャンするのを日課とするということにしておく.横書き対応に関してはとりあえず,以下のようなところまでは動いているので,なんとかなるだろう.

image

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA