SuperDAT Package Installer Version 1.8.0 リリース ノート (C) 1992-2004 Networks Associates Technology, Inc. All Rights Reserved =============================================== SuperDAT パッケージ インストーラをご使用いただ きありがとうございます。本資料にはこのバージョ ンに関する重要な情報が含まれていますので、ご一 読いただくようお願いいたします。 製品のアップデート、アップグレード、エンジンの アップデート、DAT のアップデートをダウンロード するには、プライム サポート契約が必要です。ファ イルをダウンロードすることにより、現在プライム サポートが利用できるかどうかを確認することがで きます。 _______________________________________________ このファイルの内容 - DAT ファイルとは - SuperDAT パッケージ インストーラとは - XDAT ファイルとは - SuperDAT パッケージ インストーラの利点 - サポートされる McAfee 製品 - 新しいエンジンの機能 - SuperDat パッケージ インストーラを使用した アップデートとアップグレード - パッケージ インストーラの概要 - DAT ファイルとエンジン ファイルのインス トール - SuperDAT パッケージ インストーラの実行 - コマンドライン オプション - ネットワーク管理ソフトウェアによる SuperDAT ファイルの配布 - 自動アップグレード機能による SuperDAT パッケージの実行 - この SuperDAT パッケージに含まれるファイ ル - インストールのテスト - 既知の問題 - ウイルスの名前に関して - プリフィックス - トロイの木馬のクラスのプリフィックス - インフィックス - サフィックス - Generic 検出 - ヒューリスティック検出 - アプリケーション検出 - ドキュメント - Network Associates の連絡先 - 著作権と商標 - 商標 - ライセンス条項 _______________________________________________ DAT ファイルとは ウイルス定義 (DAT) ファイルには、最新のウイルス シグネチャなどの情報が含まれています。弊社のウ イルス対策製品はこの情報を使用して、蔓延してい る何千ものコンピュータ ウイルスやその他の悪質な ソフトウェアからユーザのコンピュータを保護しま す。新規ウイルスは毎月数 100 種類も出現してお り、弊社では毎週新規 DAT ファイルをリリースして います。また、弊社 AVERT 研究所によりウイルスの 危険度が中または高と判定された場合に新規に DAT をリリースする場合もあります。 これらのウイルスの攻撃からコンピュータやネット ワークを保護するためには、最新の DAT ファイルを ダウンロードしてインストールしてください。 _______________________________________________ SuperDAT パッケージ インストーラとは 新しい複雑なウイルスの出現により、ウイルスの感 染に適切に対処するため、ウイルス対策製品に組み 込まれているウイルススキャン エンジンのアップグ レードを必要とする場合があります。多くの場合、 アップグレードのためには、製品の完全なリリース が必要でした。弊社は、SuperDAT パッケージ イン ストーラにより、ウイルスに感染したファイルの検 出やウイルス駆除に使用するスキャン エンジンおよ び DAT ファイルをインストールできるアプリケー ションを提供します。 SuperDAT パッケージ インストーラにより、ソフト ウェアのアップグレード作業を最小限に抑えること ができます。実行中のウイルス スキャンやサービス など、アップデートを妨げる可能性のあるすべての メモリ常駐プログラムを終了し、新規ファイルを適 切なフォルダにコピーした後、ウイルス対策プログ ラムを開始します。 ファイルは DAT ファイルとそのインストール プロ グラムで構成されています。また、新しいウイルス スキャン エンジンやその他のプログラムのコンポー ネントが含まれている場合もあります。ファイル名 は SDATxxxx.EXE という形式です。xxxx は、4 桁の DAT のバージョン番号 (4321 など) を示していま す。 _______________________________________________ XDAT ファイルとは このファイルの名前は xxxxXDAT.EXE という形式で す。xxxx は、4 桁の DAT のバージョン番号 (4321 など) を示しています。 このパッケージは、ウイルス対策製品の最新の DAT ファイルをインストールします。SuperDAT パッケー ジ インストーラと同様に、実行中のウイルス ス キャンやサービスなど、アップデートを妨げる可能 性のあるすべてのメモリ常駐プログラムを終了し、 新規ファイルを適切なフォルダにコピーした後、ウ イルス対策プログラムを開始します。ただし、XDAT パッケージではDAT ファイルだけをアップデートし ます。そのため、すでに最新のウイルススキャン エ ンジンを使用している場合には、このパッケージを ダウンロードすると時間と帯域幅を節約することが できます。 このインストーラのプラットフォームと製品サポー トは、SuperDAT ユーティリティと同じです。 _______________________________________________ SuperDAT パッケージ インストーラの利点 弊社では、SuperDAT パッケージ インストーラを使 用して、対象のウイルス対策製品すべてのアップ デートやアップグレードを行うことをお勧めしま す。他のアップデート方法やアップグレード方法を ご使用いただくことも可能ですが、SuperDAT パッ ケージ インストーラは最も簡単で効果的な方法をご 提供します。DAT ファイルのみをアップデートする 場合には、XDAT ファイルを使用してください。 _______________________________________________ サポートされる McAfee 製品 1. エンド ユーザ向け製品 - McAfee VirusScan(R) 4.5 for Windows 95/98 以降 - McAfee VirusScan 4.5 for Windows NT/2000 以降 - McAfee VirusScan TC 6.0 for Windows 95/98/NT/2000 以降 - McAfee NetShield(R) 4.5 for Windows NT/2000 以降 - McAfee VirusScan TC 6.0、6.1 - VirusScan Enterprise 7.0 - VirusScan Retail/VirusScan Professional 6.0、 6.01、6.02 以降 2. ゲートウェイ製品 - GroupShield(R) 4.x for Microsoft Exchange 5.5 - GroupShield 4.x for Microsoft Exchange 2000 - GroupShield 5.x for Microsoft Exchange 5.5 - GroupShield 5.x for Microsoft Exchange 2000 - GroupShield 5.x for Lotus Domino - Intel - WebShield SMTP 4.5 MR1a - WebShield SMTP e50 v1.0 _______________________________________________ 新しいエンジンの機能 - Microsoft Office 2003 の XML ドキュメントの サポート - RAR 形式への対応の強化 - 最新の ZIP ファイル形式への対応 - 破損した ZIP ファイルへの対応の強化 _______________________________________________ SuperDat パッケージ インストーラを使用したアッ プデートとアップグレード パッケージ インストーラの概要 SuperDAT パッケージ インストーラは、アイコンを ダブルクリックすることで起動する標準的な Microsoft Windows アプリケーションです。この パッケージ インストーラの Windows 95、Windows 98、Windows ME、Windows NT、および Windows 2000 バージョンには、「ウィザード」が用意されていま す。ウィザード画面に表示される指示に従って操作 することにより、ファイルをアップデートすること ができます。 重要: NetShield for Microsoft Windows NT と VirusScan for Microsoft Windows NT のウイル ススキャン エンジンをアップグレードするに は、対象のコンピュータに管理者レベルの権限で ログオンする必要があります。 対象のコンピュータにユーザ レベルの権限だけ でログオンした場合、そのコンピュータ上のウイ ルススキャン エンジンはアップグレードされま せん。 対象のコンピュータに管理者として直接ログオン できない場合には、各ソフトウェア製品の自動 アップグレード機能を使用して、アップグレード タスクをスケジュールすることができます。自動 アップグレードは、スケジュールされたアップ デート タスクを実行する場合に管理者権限を使 用しますが、ユーザが [今すぐアップデート] ボ タンをクリックした場合には使用しません。 詳細については、このファイルの「自動アップグ レード機能による SuperDAT パッケージの実行」 を参照してください。 DAT ファイルとエンジン ファイルのインストール 弊社では、ダウンロード時間を短縮するために、DAT ファイルとエンジン ファイルのアップデートを圧縮 形式で配布しています。SuperDAT パッケージ イン ストーラの実行ファイルには、これらのアップデー ト ファイルがパッケージ化されています。ファイル 名は SDATxxxx.EXE という形式です。xxxx は、4 桁 の DAT のバージョン番号 (4321 など) を示してい ます。 SuperDAT パッケージ インストーラを使用して、ウ イルス対策製品のアップデートまたはアップグレー ドを行うには、ハードディスクに一時ディレクトリ を作成し、弊社 Web サイトからこのディレクトリに SDAT ファイルをダウンロードします。 この他に、ファイルの解凍など他の作業を行う必要 はありません。 SuperDAT パッケージ インストーラの実行 SuperDAT パッケージ インストーラのプログラム ア イコンをダブルクリックして、インストール ウィ ザードを起動します。指示に従ってウイルス対策製 品をアップデートしてください。 注: SuperDAT パッケージ インストーラは、処理が完 了したら、今後アップデートまたはアップグレー ドを行うために保存しておく必要がない限り、 ハードディスクから削除しても構いません。 また、オプションを指定して、コマンドライン プロ ンプトから、インストーラを実行することもできま す。これらのオプションについては、このファイル の「コマンド ライン オプション」を参照してくだ さい。 以下の手順に従って、SuperDAT パッケージ インス トーラをコマンド プロンプトから実行します。 1. Microsoft Windows のタスクバーで [スタート] をクリックし、[ファイル名を指定して実行] を 選択します。 2. [ファイル名を指定して実行] ダイアログ ボック スで、使用したいオプションを付けて X:\SDATxxxx.EXE と入力します。 X: には、ファイルが格納されたフォルダのドラ イブとパス名を指定してください。また、xxxx は 4 桁の DAT のバージョン番号 (4321 など) を示しています。 3. [OK] をクリックします。 4. 指定したオプションに従って、パッケージ イン ストーラが実行されます。 注: オプションの中には、アプリケーションを実行せ ずに、パッケージに関する情報やオンライン ヘ ルプを表示したり、パッケージ ファイルを解凍 するだけのものもあります。詳細については、 「コマンド ライン オプション」を参照してくだ さい。 コマンドライン オプション SuperDAT パッケージ インストーラには、異なる アップデート方法の指定や、ユーティリティまたは エンジン ファイルのパッケージに関する情報を入手 するためのオプションが複数あります。 /logfile ログ ファイルを指定したパスに指定した名前で 保存します。デフォルトでは、SuperDAT パッ ケージ インストーラはカレント ディレクトリに ログ ファイルを作成します。このオプションを 使用すると、ハードディスクの任意の場所にログ ファイルを作成することができます。 /prompt アップデートまたはアップグレードが完了したと きに、[システムのシャットダウン] ダイアログ ボックスのみを表示します。このオプションは /silent オプションとともに使用します。 /silent バックグラウンドでアップデートを実行します。 ダイアログ ボックスは表示されません。 /reboot このオプションを /silent オプションとともに 使用すると、ファイルの置換を完了するために必 要であれば、コンピュータを再起動します。 このオプションを使用しない場合、またはユーザ のアップデート スクリプトに類似のコマンドを 含まない場合、インストーラはコンピュータを再 起動しません。 注: 弊社のウイルス対策製品によっては、新しいアッ プデート ファイルを使用するために、対象とな るコンピュータの再起動が必要になる場合があり ます。このオプションを使用したときにインス トーラが実際にコンピュータを再起動するかどう かは、以下の条件によって異なります。 - ウイルス対策製品、プラットフォームと OS - インストーラの起動時に使用していたプログ ラム - インストールされているエンジン ファイルを置換するためにコンピュータの再起動が 必要なければ、再起動は行いません。 /e SuperDAT パッケージに圧縮されているファイル を で指定したディレクトリに解凍しま す。このオプションを使用すると、パッケージ内 のファイルを検証することができます。このオプ ションでは、インストーラの実行や、ソフトウェ アのアップデートはされません。 を指定 しない場合、インストーラはパッケージの内容を カレント ディレクトリに解凍します。 /v Microsoft Windows 95、Windows 98、Windows ME、Windows NT、および Windows 2000 でのイン ストーラの検証情報を表示します。CRC (cyclical redundancy check) コード、バージョ ン情報、日付などの情報を表示します。このデー タを、SuperDAT パッケージに含まれている SDATPACK.LST に記載された情報と比較すること で、パッケージの内容を検証できます。このオプ ションでは、インストーラの実行や、ソフトウェ アのアップデートはされません。 /f すでにインストールされているファイルのバー ジョンに関わらず、最新のパッケージでソフト ウェアのアップデートとアップグレードを行いま す。このオプションでは、最新バージョンのファ イルに "強制的に" アップデートされるので、壊 れたファイルを上書きしたり、ウイルス対策ポリ シーを施行する場合に使用することができます。 /? インストーラで利用可能なコマンドライン オプ ションの説明を表示します。このオプションで は、SuperDAT パッケージ インストーラの実行 や、ソフトウェアのアップデートはされません。 ネットワーク管理ソフトウェアによる SuperDAT ファイルの配布 自動アップグレード機能や Microsoft System Management Server (SMS) を使用してアップデート またはアップグレード パッケージを配布する場合に は、必要なパッケージ記述ファイルまたはスクリプ トを弊社 Web サイトからダウンロードすることがで きます。 このサイトには、各配布管理ツールに対応したアー カイブ ファイルがあります。 SMS.ZIP System Management Server 用パッケー ジ定義ファイル (.PDF) AUTOUPG.ZIP 自動アップグレード用パッケージ定義 ファイル 自動アップグレード機能による SuperDAT パッケー ジの実行 自動アップグレードは、弊社ウイルス対策製品の機 能です。自動アップグレード機能で SuperDAT パッ ケージを使用できるようにするには、パッケージを 修正する必要があります。 1. SDATxxxx.EXE ファイル (例: SDAT4321.EXE) の 名前を SETUP.EXE に変更します。 2. 弊社 Web サイトにある AUTOUPG.ZIP をダウン ロードします。 注: AUTOUPG.ZIP に含まれている PKGDESC.INI を解 凍し、ネットワーク上の他のコンピュータがアッ プデート ファイルをダウンロードするサーバ に、解凍したファイルと SETUP.EXE の両方をコ ピーしてください。自動アップグレードでアップ デート ファイルを正常にダウンロードするに は、PKGDESC.INI と SETUP.EXE の両方が必要で す。 UNIX など大文字と小文字を区別するオペレー ティング システムがアップグレード サーバで実 行されている場合には、PKGDESC.INI ファイルの 名前が正しいかどうか確認してください。 VirusScan for Microsoft Windows 95、Windows 98、Windows ME、Windows NT Workstation 4.0 および Windows 2000 Professional の自動アッ プグレード機能の場合、ファイル名はすべて小文 字 (pkgdesc.ini) にします。 NetShield および VirusScan v4.0.3 for Microsoft Windows NTでは、ファイル名はすべて 大文字 (PKGDESC.INI) にします。 3. SETUP.ISS ファイルを作成して、新しいファイル のダウンロード元になるディレクトリにコピーし ます。 SETUP.ISS は、自動アップグレードによる製品の アップグレードやアップデート方法が記述されて いる単純なテキスト ファイルです。このファイ ルは、標準のテキスト エディタで作成し、保存 することができます。設定オプションを指定しな い場合には、0 バイトの SETUP.ISS ファイルを 作成してください。 重要: v4.0.3 のウイルス対策製品の自動アップグレー ドでは、設定オプションの指定に関係なく、 SETUP.ISS ファイルを実行する必要がありまし た。 v4.5 シリーズ (NetShield 4.5 を除く) の自動 アップグレードでは、SETUP.ISS ファイルを実行 する必要はありません。 SETUP.ISS ファイルに設定オプションを指定する場 合には、以下の例を参考にしてください。この例を コピーしてテキスト ファイルに貼り付け、 SETUP.ISS という名前でファイルを保存することも できます。 [SuperDATOptions] bReboot=1 bPrompt=1 szLogFile=C:\temp\mylog.txt このファイルのステートメントの意味は次のとおり です。 - bReboot=1 ウイルス対策製品のアップデートまたはアップグ レードを完了するために必要であれば、対象のコ ンピュータを再起動します。ファイルのアップ デート後に対象のコンピュータを再起動しない場 合には、bReboot= に 0 を設定するか、このス テートメントを SETUP.ISS から削除してくださ い。 注: SETUP.ISS ファイルのこのステートメント、コマ ンドライン、アップデート スクリプトのいずれ かで再起動を指定しなければ、コンピュータは再 起動しません。 弊社のウイルス対策製品によっては、新しいアッ プデート ファイルを使用するために、対象とな るコンピュータの再起動が必要になる場合があり ます。このステートメントが SETUP.ISS ファイ ルに含まれている場合に SuperDAT パッケージ インストーラが実際にコンピュータを再起動する かどうかは、以下の条件によって異なります。 - インストールされているウイルス対策製品、 プラットフォームおよびオペレーティング システム - SuperDAT パッケージ インストーラの起動時 に使用していたプログラム - すでにインストールされている DAT ファイル とエンジンのバージョン 新しいファイルを使用するために再起動する必要 がなければ、このステートメントに関係なく、コ ンピュータは再起動されません。 - bPrompt=1 アップデートまたはアップグレードが完了したと きに、[システムのシャットダウン] ダイアログ ボックスのみを表示します。 - szLogFile= ログ ファイルを指定したパスに指定した名前で 保存します。デフォルトでは、SuperDAT パッ ケージ インストーラはカレント ディレクトリに ログ ファイルを作成します。 この SuperDAT パッケージに含まれるファイル SuperDAT インストーラ コンポーネント GLOBALS.NSG グローバル変数定義ファイル NAISCRIP.NSC スクリプト ファイル SDATPACK.LST VALIDATE.EXE と共に使用され るパッケージ内容のリストと コード GSDSUPER.DLL GroupShield for Lotus Domino サポート ファイル DAT ファイル SCAN.DAT ウイルス スキャン用 DAT ファ イル NAMES.DAT ウイルス名 DAT ファイル CLEAN.DAT ウイルス駆除用 DAT ファイル INTERNET.DAT 有害な Java/ActiveX オブジェ クト検出用 DAT ファイル エンジン コンポーネント MCSCAN32.DLL ウイルススキャン エンジン SIGNLIC.TXT 他社製品のライセンス情報 MCTOOL.EXE 最終アクセス日付を Novell NetWare サーバ ボリューム上 に保存するために使用されるサ ポート ファイル AVPARAM.DLL VirusScan 32/16 ビット サ ポート ファイル PSAPI.DLL Microsoft Windows NT サポー ト ライブラリ VirusScan for Windows 95/98 用ファイル MCSCAN32.VXD ウイルススキャン エンジン VSHIELD.VXD バックグラウンドで動作する VShield スキャナ RWABS16.DLL VirusScan 16 ビット サポート ファイル RWABS32.DLL VirusScan 32 ビット サポート ファイル VirusScan コマンドライン用ファイル LICENSE.DAT VirusScan ソフトウェアのライ センス情報 MESSAGES.DAT メッセージ コンテンツ ファイ ル BOOTSCAN.EXE エマージェンシー ディスク コ マンドライン スキャナ SCAN.EXE 32 ビット用 VirusScan コマン ドライン スキャナ SCANPM.EXE プロテクトモード用 VirusScan コマンドライン スキャナ SCAN86.EXE リアルモード用 VirusScan コ マンドライン スキャナ (v4.1.40) _______________________________________________ インストール後のテスト EICAR 標準ウイルス対策製品テスト ファイルは、世 界中のウイルス対策製品のメーカが協力して作成し た標準試験ファイルで、このファイルを使用してテ ストすることにより、製品が正しくインストールさ れているかどうかを確認することができます。 インストール後のテストを行うには、次の手順に従 ってください。 1. 新規にテキスト ファイルを作成し、次の行を入 力します。行の途中でスペースや改行を入れない でください。入力したら、EICAR.COM という名前 で保存します。 X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* ファイル サイズは 68 または 70 バイトになり ます。 2. ウイルス対策ソフトウェアを起動し、EICAR.COM を含むディレクトリがスキャンされるように設定 します。 ウイルス対策製品がこのファイルをスキャンする と、EICAR テスト ファイルが検出されたことを 示すレポートを生成します。 3. 他のユーザに通知されないよう、インストール後 のテストが終了したらこのファイルを削除してく ださい。 重要: このファイルはウイルスではありません。 ____________________________________________ 既知の問題 1. SuperDAT ログ ファイルは現在、最長 64K に制 限されています。ログ ファイルがこのサイズに 達するとイベントの記録は継続されますが、ファ イルは切りつめられます。 2. SuperDAT パッケージ インストーラを実行して、 既存のバージョンの VirusScan for Windows 95/ 98 (たとえば v4.0.3) をアップデートした後 で、同じ製品の新しいバージョン (たとえば v4.5.1) をインストールした場合には、SuperDAT パッケージ インストーラを再実行して、エンジ ン ファイルを最新の状態に更新する必要があり ます。 3. SuperDAT パッケージ インストーラは現在、 Novell NetWare ログイン スクリプトで使用する @ 記号をサポートしていません。弊社では、特定 の環境で使用するログイン スクリプトの提供や サポートは行いません。 4. SuperDAT パッケージ インストーラは、システム のセキュリティ制限下で動作します。通常、 Windows NT 上でウイルス対策ソフトウェアのウ イルススキャン エンジンをアップグレードする 場合には、システムのサービスを停止および開始 するために、管理者権限が必要になります。ウイ ルス対策製品をインストールしたときの ID に は、このような権限が設定されているはずですの で、この ID を使用してシステムにログオンして ください。 5. 弊社のウイルススキャン エンジンは、トロイの 木馬の検出を行います。これにより、ウイルス対 策製品は有害な「トロイの木馬」処理をシャット ダウンし、コンピュータから有害なソフトウェア の痕跡をすべて除去することが可能です。 Windows NT 上でこの機能を有効にするには、 PSAPI.DLL と VDMDBG.DLL の2 つのダイナミック リンク ライブラリ (.DLL) ファイルが \WINNT\System32 フォルダにインストールされて いる必要があります。 通常、VDMDBG.DLL はシステム上に存在します が、NT 4.0 環境によっては、PSAPI.DLL が存在 しない場合があります。PSAPI.DLL が \WINNT\System32 フォルダに存在しない場合に は、このファイルのコピーを Microsoft から入 手してください。 注: すでに PSAPI.DLL がインストールされているシ ステムに、PSAPI.DLL をコピーすることはできま せん。 _______________________________________________ ウイルスの名前に関して 弊社では、検出および駆除するウイルスの名前に関 しては業界の標準に従っています。ただし、一部の ウイルスの名前に関しては業界標準と異なるものも あります。 明らかに新種として特徴づけられる一連の性質を持 つ最初のウイルスには "ファミリ" 名が付けられま す。ウイルスの研究者は、ウイルスの識別にそのウ イルスの持つ特異な性質や表記方法、すなわちテキ スト ストリング、またはペイロード効果などから ファミリ名をとります。 ファミリ名には、ウイルスのバイト数を表す数値が 含まれる場合があります。ウイルスの研究者は、類 似した亜種を識別するために、この名前を使用して います。 ウイルス ファミリ内の亜種の名前は、ファミリ名と サフィックス (例:BadVirus.a) で構成されていま す。サフィックスはアルファベット順で .z に達す るまで続きます。その後、再び .aa で開始し、.az に到達するまで続きます。それ以降の亜種はサ フィックス .ba から .bz まで、そしてサフィック スが .zz に到達するまで続きます。その後、別の亜 種が発見された場合には、.aaa というサフィックス が付きます。 新しいウイルスが出現したときに、ウイルス名によ り多くの情報を含めることが業界標準とされていま す。たとえば、ある種のウイルスについては、それ が稼動するプラットフォームが名前に含まれていま す。 ウイルス対策ソフト ベンダーの中には、ウイルス名 に下記のものを含めている場合があります。 プリフィックス プリフィックスは、ウイルスが感染するファイルの タイプまたは悪質なソフトウェアが稼動できるプ ラットフォームを指定します。DOS 実行ファイルに 感染するウイルスにはプリフィックスは付きませ ん。弊社がウイルス名として使用しているのは以下 のプリフィックスです。 A97M/ Microsoft Access 97 のファイルに感 染するマクロ ウイルス。 APM/ Ami Pro ドキュメントとテンプレート ファイルに感染するマクロまたはトロ イの木馬。 Bat/ バッチファイル ウイルスまたはトロイ の木馬。これらのウイルスは通常バッ チまたはスクリプト ファイルとして動 作し、そのファイルに含まれるバッチ またはスクリプト コマンドを解釈する 特定のプログラムに影響を与えます。 これらのウイルスは非常に感染しやす く、バッチやスクリプト ファイルを実 行できるほとんどのプラットフォーム に影響を与えることができます。多く の場合、このファイルには BAT という 拡張子が付いています。 CSC/ Corel スクリプト ウイルスまたはトロ イの木馬。Corel Draw ドキュメント ファイル、テンプレート ファイル、ス クリプトに感染するウイルス。 IRC/ インターネット リレー チャット スク リプト ウイルス。このタイプのウイル スは mIRC クライアント ソフトウェア の初期のバージョンを利用し、ウイル スまたはペイロードを蔓延させます。 JS/ JavaScript 言語で記述されたスクリプ ト ウイルスまたはトロイの木馬。 JV/ 悪質な Java アプリケーションまたは アプレット。 Linux/ Linux OS 向けに ELF 形式でコンパイ ルされたウイルスまたはトロイの木 馬。 LWP/ Lotus WordPro を対象とする悪質なソ フトウェア。 MacHC/ Apple Macintosh HyperCard のスクリ プト言語を対象とするウイルスまたは トロイの木馬。 MacOS/ Apple Macintosh OS 6〜9 を対象とす るウイルスまたはトロイの木馬。 MSIL/ Microsoft Intermediate Language フ レームワーク (または .NET) で記述さ れたアプリケーション。 P98M/ Microsoft Project ドキュメントとテ ンプレートに感染するマクロ ウイルス またはトロイの木馬。 PalmOS/ Palm Pilot を対象とするウイルスまた はトロイの木馬。 PDF/ Adobe PDF ファイルのファイル感染型 ウイルス。 Perl/ Perl 言語で記述されたスクリプト ウ イルスまたはトロイの木馬。 PHP/ PHP 言語で記述されたスクリプト ウイ ルスまたはトロイの木馬。 PP97M/ Microsoft PowerPoint 97 のファイル に感染するマクロ ウイルス。 SunOS/ Sun Solaris を対象とする悪質なソフ トウェア。 SWF/ Shockwave を対象とする悪質なソフト ウェア。 Unix/ UNIX を対象とするプログラムまたは シェル スクリプト。 V5M/ Visio VBA (Visual Basic for Applications) に感染するマクロ ウイ ルス、スクリプト ウイルス、またはト ロイの木馬。 VBS/ Visual Basic スクリプト言語で記述さ れたスクリプト ウイルスまたはトロイ の木馬。 W16/ 16 ビット Windows (3.1x) 環境で稼動 するファイル型ウイルス。 W2K/ 32 ビット Windows (特に NT、2000、 XP) 環境を対象とする悪質なソフト ウェア。 W32/ 32 ビット Windows (95、98、NT) 環境 で稼動するファイル型またはブート セ クタ型ウイルス。 W95/ Windows 95/98/ME 環境下で稼動する ファイル型ウイルス。 W97M/ Microsoft Word 97 のファイルに感染 するマクロ ウイルス。 WHLP/ 32 ビット Windows 環境で Windows HLP ファイルを対象とする悪質なソフ トウェア。 WM/ Microsoft Word 95 のファイルに感染 するマクロ ウイルス。 X97M/ Microsoft Excel 97 のファイルに感染 するマクロ ウイルス。 XF/ Excel の式を介して Microsoft Excel 95/97 に感染するマクロ ウイルス。 XM/ Microsoft Excel 95 のファイルに感染 するマクロ ウイルス。 トロイの木馬のクラスのプリフィックス クラスのプリフィックス ("BackDoor-" など) は、 悪質なソフトウェアが類似したトロイの木馬プログ ラムのクラスに属していることを示しています。ク ラス名の後ろには、ファミリ (BackDoor-JZ など) または名前 (BackDoor-Sub7 など) を示す文字が付 きます。 AdClicker- 広告で収入を得ている Web サイトに繰 り返しアクセスします。 Adware- 許可なく広告ソフトウェアをインス トールします。 BackDoor- インターネットまたはネットワークを 介してリモート アクセスまたはリモー ト コントロールを可能にします。 Dialer- 許可なく電話番号に接続します。 DDoS- 分散型サービス拒否攻撃のコンポーネ ントとして機能します。 Del- ファイルを削除します。 Downloader- インターネットからソフトウェアをダ ウンロードします。通常はバックドア やパスワード詐取ソフトウェアをダウ ンロードしますが、ウイルスがダウン ロードされる場合もあります。 Exploit- 脆弱性またはソフトウェアの欠陥を利 用します。 FDoS- フラッドを起こすサービス拒否攻撃を 行うコンポーネント。 KeyLog- キー入力を記録し、即座にまたは後で 攻撃者に送信します。 Kit- ウイルスまたはトロイの木馬プログラ ムを作成するよう設計されたプログラ ム。 MultiDropper- 複数のトロイの木馬プログラムまたは ウイルス (たいていは異なる 'backdoor') をドロップします。 Nuke- ソフトウェアの欠陥を利用してリモー ト コンピュータをダウンさせます。 ProcKill- ウイルス対策およびセキュリティ ソフ トウェアのプロセスを終了させます。 これらのアプリケーションに関連する ファイルを削除することもあります。 PWS- パスワードを詐取します。 Reboot- コンピュータを再起動します。 Reg- 好ましくない方法で、許可なくレジス トリを変更します。たとえば、セキュ リティの設定レベルを低くしたり、異 常な関連付けや設定を作成します。 Spam- スパム ツールとして活動します。 Spyware- Web 参照履歴やその他の行動を監視 し、たいていは不要な広告に使用する ためにその情報を送信します。 Uploader- コンピュータからファイルやその他の データを送信します。 Vtool- ウイルス作成者やハッカーがソフト ウェア開発に使用するプログラム。 Zap- ハードディスクの一部または全部を消 去します。 インフィックス 通常、ウイルス名の中間に使用します。これらの名 前は 弊社で規定されており、業界標準とは異なりま す。 .cmp. ウイルスが既存の実行ファイルに追加 するコンパニオン ファイル。感染防止 のため、コンパニオン ファイルは削除 されます。 .mp. DOS を対象とする既存のマルチ パー ティ ウイルス。 .ow. 上書きウイルス。これは、ファイルの データを上書きし、修復不可能な損傷 を与えるウイルスです。このファイル は削除する必要があります。 サフィックス 通常、ウイルス名の最後に使用します。ウイルス名 は複数のサフィックスを持つことがあります。たと えば、1 つは亜種を示し、もう 1 つは追加情報を示 します。 @M メーラーの速度を低下させます。この ウイルスはメール システムを使用して 拡散します。たいていは受信メッセー ジに 1 度だけ返信するか、送信メッ セージに自身のコピーを添付するか、 または 1 つのメール アドレスのみに 送信を行います。 @MM 大量のメール配信。このウイルスは、 自分自身を拡散させるために標準的な テクニックを使用する可能性がありま す。また、電子メール システムを使用 する場合もあります。 .a - .zzz ウイルス亜種。 CARO (Computer Anti-virus Research Organization) の命名規則に従い、メーカ固有のサ フィックスの前には "!" が付いていることがありま す。弊社のソフトウェアでは以下のサフィックスを 使用しています。 apd アペンド ウイルス。感染ファイルにウ イルスのコードを追加しますが、本来 の複製処理には失敗したウイルスで す。 bat バッチファイル形式で記述されたソフ トウェア コンポーネント。 cav キャビティ ウイルス。プログラム ファイル内で "キャビティ" な部分 (たとえば、すべて 0 の領域) に自分 自身をコピーするウイルスを表しま す。 cfg インターネットのトロイの木馬プログ ラム (たいていは 'BackDoor-') の設 定コンポーネント cli インターネットを介して侵入するトロ イの木馬 (たいていは 'BackDoor-') のクライアント サイド コンポーネン ト。 dam 損傷したファイル。ウイルス感染によ り損傷または破壊されたファイルで す。 demo 有害となる可能性のあるアクション (悪用の機能例など) のデモンストレー ションを実行するプログラム。 dr ドロッパ ファイル。このファイルはホ スト プログラムにウイルスを侵入させ ます。 gen 一般検出。弊社ウイルス対策製品が特 定のコード ストリングを使用しないで 検出できるウイルス。 ini ほかのウイルスのコンポーネントとし て使用されている mIRC または pIRCH スクリプト。 intd "未完成" ウイルス。通常のウイルスと しての機能を持っているものの複製に 失敗するウイルス。 irc 有害となる可能性のあるソフトウェア の IRC コンポーネント。 js JavaScript に含まれている、有害とな る可能性のあるソフトウェア コンポー ネント。 kit 'virus construction kit' で作成され たウイルスまたはトロイの木馬プログ ラム。 p2p ピアツーピア通信を使用して機能す る、有害となる可能性のあるソフト ウェア。Gnutella や Kazaa など。 sfx 「トロイの木馬」プログラム用自己解 凍型インストール ユーティリティ。 src ウイルス ソース コード。通常、複製 やファイル感染はできませんが、ウイ ルス ドロッパがこれを感染サイクルの 一部としてファイルに追加する場合が あります。弊社製品は、この種の追加 コードを持つファイルを削除します。 sub 置き換えウイルス。ホストファイルを 自身に置き換えて、感染した hosts の サイズと内容をウイルスと同じものに します。(すなわち、上書きウイルスの サブクラスです。) svr インターネットを介して侵入するトロ イの木馬 (たいていは 'backdoor') の サーバ サイド コンポーネント。 vbs Visual Basic スクリプト言語で記述さ れた悪質なソフトウェア コンポーネン ト。 worm 寄生せず自身を複製するウイルス、ま たはリモート コンピュータにコピーを 作成するか、なんらかのファイル転送 方法 (リモート共有、ピアツーピア、 インスタント メッセンジャー、IRC ファイル転送、FTP、SMTP など) を使 用して、ネットワークを介して拡散す るウイルス。 Generic 検出 弊社製品では、数多くの有害となる可能性のあるソ フトウェアを先見的または一般的に検出可能です。 たいていの場合、このようなオブジェクトは、AVERT に検体がない場合でも問題なく駆除することができ ます。この場合は、名前に "Generic" と付くか、 "gen" というサフィックスが付きます。 AVERT に検体を送信する場合は、AVERT のホーム ページにアクセスしてください。 ヒューリスティック検出 弊社製品では、数多くの新たな有害となる可能性の あるソフトウェアをヒューリスティックにより検出 可能です。この場合、その印として名前に "New" と いうプリフィックスが付きます ("New Worm" や "New Win32" など)。 ヒューリスティックにより検出された検体を AVERT に送信する場合は、AVERT ホームページにアクセス してください。 アプリケーション検出 弊社製品では、不要なアプリケーションを検出可能 です。これらはウイルスやトロイの木馬プログラム には分類されません。これらのアプリケーションに は、ひそかに実行されるアドウェア、スパイウェ ア、ダイアラー、リモートアクセス ソフトウェア や、その他のユーザが必要としない類似のアプリ ケーションなどが含まれています。不要なアプリ ケーションには 'ジョーク プログラム' も含まれま すが、これはスキャン オプションを使用して検出対 象から除外することができます。 詳細については、AVERT ホームページにアクセスし てください。 _______________________________________________ ドキュメント この製品には、以下のドキュメントが付属していま す。 - README.TXT ファイル (このファイル) - CONTACT.TXT ファイル。 国内または海外にある弊社事業所の連絡先が記載 されています。 _______________________________________________ Network Associates の連絡先 弊社の連絡先については、購入された製品に付属の CONTACT.TXT ファイルをご覧ください。 _______________________________________________ 著作権と商標 Copyright (C) 2004 Networks Associates Technology, Inc. All Rights Reserved.このマニュ アルのいかなる部分も、Network Associates Technology, Inc. またはその代理店または関連会社 の書面による許可なしに、形態、方法を問わず、複 写、送信、転載、検索システムへの保存、および他 言語に翻訳することを禁じます。許諾を得る際に は、下記の Network Associates 法務部門まで書面 にてご連絡ください。 5000 Headquarters Drive, Plano, Texas 75024 もしくは +1-972-963-8000. 商標 ActiveSecurity、アクティブセキュリティ、 Distributed Sniffer System、分散型スニファーシ ステム、Dr Solomon's、Entercept、Enterprise Secure Cast、エンタープライズセキュアキャスト、 E-Policy Orchestrator、イーポリシー・オーケスト レイター、GroupShield、グループシールド、 IntruShield、IntruVert、McAfee、マカフィー、 NetShield、ネットシールド、Network Associates、 Sniffer、Sniffer Technologies、スニファーテクノ ロジーズ、SpamKiller、Total Network Visibility、トータルネットワークビジビリティ、 ViruScan、WebShield、ウェブシールドは米国法人 Network Associates, Inc. またはその関係会社の登 録商標です。Sniffer(R) ブランドの製品は Network Associates, Inc. が製造しています。本書中のその 他の登録商標及び商標はそれぞれその所有者に帰属 します。 ライセンス情報 ライセンス条項 お客様へ:お客様がお買い求めになられたライセン スに従い、該当する契約書 (許諾されたソフトウェ アの使用につき一般条項を定めるものです、以下 「本契約」といいます) をよくお読みください。お 買い求めになられたライセンスタイプがご不明の場 合には、担当営業またはライセンス付与管理部門に ご相談になるか、製品に付随する購入関係書類若し くは購入手続きにおいて別途受領された書類をご参 照ください。本契約の規定に同意されない場合は、 製品をインストールしないで下さい。この場合、弊 社またはご購入元に速やかにご返品いただければ、 所定の条件を満たすことによりご購入額全額をお返 しいたします。 帰属 本製品には下記のソフトウェアおよびテクノロジー が含まれている場合があります。 - OpenSSL Toolkit で使用するために OpenSSL Project によって開発されたソフトウェア (http://www.openssl.org/)。 - Eric Young によって作成された暗号化ソフトウェ ア、および Tim J. Hudson によって作成されたソ フトウェア。 - GNU General Public License (GPL) あるいは、プ ログラムもしくはその一部の複製、変更、再頒布 およびソースコードへのアクセスを許諾するフ リーソフトウェア ライセンスで使用 (または再ラ イセンス) が許可されるソフトウェア プログラ ム。GPL では、ソフトウェアを実行可能なバイナ リ形式で配布する場合に、そのソースコードも一 緒に提供することが定められています。本製品に GPL で配布されているソフトウェアが含まれてい る場合、そのソースコードが製品 CD に収録され ています。フリーソフトウェア ライセンスによ り、弊社が製品のライセンス契約で規定している 範囲を超えてソフトウェア プログラムの使用、複 製、または変更を許諾しなければならない場合、 これらの権利が本資料に記載されている権限また は制約より優先されるものとします。 - Henry Spencer によって作成されたソフトウェ ア。Copyright 1992, 1993, 1994, 1997 Henry Spencer. - Robert Nordier によって作成されたソフトウェ ア。Copyright (C) 1996-7 Robert Nordier.All rights reserved. - Douglas W. Sauder によって作成されたソフト ウェア。 - Apache Software Foundation (http://www.apache.org/) によって開発されたソ フトウェア。 - International Components for Unicode ("ICU")。Copyright (C) 1995-2002 International Business Machines Corporation and others.All rights reserved. - CrystalClear Software, Inc. によって開発され たソフトウェア。Copyright (C) 2000 CrystalClear Software, Inc. - FEAD(R) Optimizer(R) テクノロジー。Copyright Netopsystems AG, Berlin, Germany. - Outside In(R) Viewer Technology (C) 1992-2001 Stellent Chicago, Inc.または Outside In(R) HTML Export, (C) 2001 Stellent Chicago, Inc. - Software copyrighted by Thai Open Source Software Center Ltd. and Clark Cooper, (C) 1998, 1999, 2000. - Software copyrighted by Expat maintainers. - Software copyrighted by The Regents of the University of California, (C) 1989. - Software copyrighted by Gunnar Ritter. - Software copyrighted by Sun Microsystems(C), Inc. - Software copyrighted by Gisle Aas.All rights reserved, (C) 1995-2003. - Software copyrighted by Michael A. Chase, (C) 1999-2000. - Software copyrighted by Neil Winton, (C) 1995-1996. - Software copyrighted by RSA Data Security, Inc., (C) 1990-1992. - Software copyrighted by Sean M. Burke, (C) 1999, 2000. - Software copyrighted by Martijn Koster, (C) 1995. - Software copyrighted by Brad Appleton, (C) 1996-1999. - Software copyrighted by Michael G. Schwern, (C) 2001. - Software copyrighted by Graham Barr, (C) 1998. - Software copyrighted by Larry Wall and Clark Cooper, (C) 1998-2000. - Software copyrighted by Frodo Looijaard, (C) 1997. DBN 001-JA Deriv. V2.3.1