 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > SecuTool > Comodo AntiVirus | |||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > SecuTool > Comodo AntiVirus | |||||
SSLで有名らしいComodoのAnti-Virusを紹介する。あまり知られていないAnti-Virusを紹介しても多くの方は「実績がある有名な製品」の方を選択されるだろうが、それでは後発のすばらしい技術を持ったベンダーは育たない。大手寡占の状態から百花繚乱となるよう、いろいろな製品を試していただきたい。Comodo AntiVirusはWindowsXP(SP2)とWindows2000(SP4以降)が対象だ。
Downloadはhttp://www.antivirus.comodo.com/download.htmlから。
Download時に名前(ニックネームでも可)とメールアドレスを設定して「Submit」をクリックする。ここで登録したメールアドレスにアクティベーションコードが送られてくるので、ちゃんと届くアドレスを設定しよう。
ちなみに左図でも判るとおり現行はVer1.1のベータ版である。
製品紹介ページから主な機能を抜粋すると
説明にはもっとたくさんの項目があるがおいおい紹介していこう。
インストールは選択を行うところもなく、そのまま終了するが筆者の環境では(Windows2000Pro)インストール後の再起動、つまり初回の起動からPCが限りなくスローになる現象が発生した。このため
この状態でAnti-Virusはすべての機能がちゃんと動いている。どうもスタートアップとサービスの両方で起動するようにインストーラが設定してしまうのが原因のようだ。XP-SP2の環境では正常にインストールとその後の起動ができたため、筆者の環境が特別悪かったのかもしれないが、同じ現象が出ることも考えられるので念のために記しておく。
インストール後にメールで送られたアクティベーションコードを入力する。
メールで送られたコードを設定して「Activate」をクリックするだけだ。
下にあるボタンは
| Get Free License Now | 今すぐフリーのライセンスを取得 |
| Get Free License Later | 後でフリーのライセンスを取得 |
とあるので、この時点でアクティベーションコードを入手することも可能だし、アクティベートせずにお試し版のまま使用することも可能である。ただしお試し版の場合は有効期限が1ヶ月である。
Activateをクリックするとなにやらゴニョゴニョしてアクティベーションが終了する。
インストールも終わったので一通り画面を見ていこう。
Comodo AntiVirusは2つのコンポーネントから構成される。ひとつはComodo Antivirus、もうひとつは統合ランチャとも言うべき「Comodo
Launch Pad」と呼ばれるものだ。Comodoが提供している他の無償ツールのFirewallやAntiSpamもこの統合ランチャから設定画面を起動することができる。
ランチャはスタートメニューまたはタスクトレイのアイコンをクリックして起動する。
「Show Application Window」をクリックするとAntiVirusのメイン画面が表示される。またはタスクトレイのアイコンをクリックして表示されるメニューから「AntiVirus」→「Open
Comodo AntiVirus」でもAntiVirusのメイン画面が表示できる。
このLaunch PadはComodoのFirewall、AntiVirus、AntiSpamのセキュリティツールのランチャと一括Update機能のほかに新製品の紹介などの機能を持っている。
ではようやく表示されたComodo AntiVirusの画面を見ていこう。上部に並んだボタンの順に説明していく。
はじめは「STATUS」:ステータス画面。
ここでは常駐監視タスクやUpdateなどのタスクの起動設定とスキャンの状態が表示される。
上段はタスクの起動状態と設定。
| On Access Scanner | 常駐監視タスク |
| E-Mail Scanner | メールスキャン |
| Automatic Updator | 自動アップデート |
「Status」が"ON"なら実行中、"Off"なら停止中である。
下段は状態表示
| Full System Scan | 最後にフルスキャンした日付 |
| Last Signature Update | 最終アップデート日付 |
| License Status | ライセンスの状態 |
各行の横にあるボタンは
| Turn Off | タスクの停止。同様に「Turn On」はタスクの起動である。"Status"の状態によりボタンの表示がかわる。 |
| Scan Now | フルシステムスキャンの実行 |
| Update Now | アップデートの実行 |
この画面で悩むところはない。タスクはすべて起動(ON)にしておく。インストール直後に一度Updateしておいたほうがよいだろう。以降は自動Updateなので気にしない。
ちなみにメールのスキャンをOFFにしてみると画面左側のアイコンがバツ印に変わる。また右側のボタンは「Turn
Off」から「Turn On」に変っている。
つぎはスキャンの設定と実行の「VIRUS SCAN」
スキャン画面は上から順に
| Scan My Computer | フルスキャン |
| Scan All Removable Drives | FD、CDなど固定DISK以外のドライブをスキャン |
| Scan Fixed Drives | 固定ディスクのスキャン |
| Scan Folder/Drives | 指定したフォルダまたはドライブのスキャン |
| Scan Files | 指定したファイルのスキャン |
| Scan Memory | メモリーのスキャン |
フルスキャンはメモリーと全ドライブをスキャンする。メモリースキャンはメモリー上に実行中タスクのチェックだ。
ファイル・ドライブのスキャンではドライブとフォルダのツリーが表示されるのでスキャンしたいところにチェックを入れて「Scan」をクリックする。
当然だが複数のフォルダを指定することも可能。またOn Demand ScanはExplorerの右クリックメニューから実行することも可能。
次は「SCAN SCHEDULE」:スケジュールスキャン
残念ながら、この画面はなぜかIEのスクリプトエラーが表示されて設定できなかった(筆者の環境だけか?)
まぁスケジュールなので定期的なスキャンの実行のため日付や時間とスキャンの対象を指定するのだが、エラーが出ても無視しながら登録を押すと結局何も登録されなかった。
次は隔離部屋の設定
スキャン時にウィルスを発見すると駆除・削除・隔離部屋行きなどの設定ができる。隔離部屋行きとなったファイルを管理するのがこの隔離部屋画面だ。
まずは隔離部屋の住民たち(隔離したファイル)の種類別数の表示画面。上から順に
| Quarantined File Items | 隔離したファイル数 |
| Submitted File Items | 送信済みファイル数 |
| Quarantinued Mail Attachements | 隔離添付ファイル数 |
| Submitted Mail Attachements | 送信済み添付ファイル数 |
下にある2つのボタンは
| Quarantine.. | 隔離部屋のメンテナンス |
| Submit Files.. | Comodoのリサーチラボにファイルを送信 |
である。ここでは数の表示だけなので、実際に隔離部屋に移されているファイルを操作するには「Quarantine...」をクリックする
「QUARANTINE」は隔離部屋のメンテナンスを行う画面
左側のツリーは
| File Items | 隔離したファイルのアイテム |
| Mail Items | 隔離したメールの添付ファイル |
の2種類に分類され、さらに送信の有無で2つの分かれる。
| Quarantined Items | 隔離したアイテム |
| Submitted Items | Comodoに送信した隔離アイテム |
上にあるボタンは左から
| ADD ITEM | アイテムの追加 |
| DELETE ITEM | アイテムの削除 |
| REPAIR ITEM | 修復 |
| RESTORE ITEM | 元に戻す |
| SUBMIT ITEM | Comodoに送信 |
| PROPERTIES | ファイルの詳細 |
| SUBMIT ALL | 全て送信 |
| UPDATER | アップデート |
通常"ADD ITEM"は明らかに感染していると思われるファイル(ウィルス収集マニアが集めた検体ファイル)を入れておく時に使うくらいで、あまり使い道は無い。
"DELETE ITEM"や"REPAIR ITEM"は感染ファイルを削除したり、修復するときに使用する。しかし後述する"ウィルス発見時の動作"で最初に修復、修復できない場合は隔離部屋送りの設定であれば、最初の発見時に一度修復を試みているので、ここで再度修復を試みても結果は同じ"修復不能"になる。
隔離したアイテムをクリックすると詳細情報が表示される。
上から順に
| File Name | ファイル名 |
| Location | ファイルが保存されていた場所 |
| Type | ファイルの種類 |
| Size | ファイルサイズ |
| Quarantined Date | 隔離した日時 |
| Submitted | 送信の有無 |
| Status | 現在の状態 |
| Quarantined By | ウィルス隔離時のスキャン方法 |
| Description | 説明 |
である。ここではOn-Access Scanner(常駐監視)で見つけたeicar.comというファイルの内容。
次は「REPORTS」:レポートの表示
レポートはスキャンの種類やウィルスリストがある。上から順に
| On Demand Scan | 手動スキャンのレポート |
| 「On Access Scan | 常駐スキャンのレポート |
| Email Scan | メールスキャンのレポート |
| Virus List | ウィルスリスト |
それぞれ右側の「View Report...」をクリックしてレポートを表示する。
レポート(ログ)表示の内容は非常にシンプルでわかりやすい。
上段はスキャンごとの結果一覧
| Scan detail | スキャンの対象 |
| Date | スキャンの実行日時 |
| Status | スキャンの最終結果 |
| Total object scan | スキャンしたフィル数 |
| infected object | ウィルス感染のファイル数 |
| disinfected object | 駆除したファイル数 |
下段は発見したウィルスの情報
| Object name | 感染したファイル名 |
| Virus name | ウィルスの名称 |
| Action Taken | 検出時の動作 |
である。検出時の動作は「削除」や「隔離」などが表示される。
次は「UPDATER」:手動Update。このボタンはなぜかメイン画面にはない(かわりに"Update Now"がある)。しかしQUARANTINEの右端やタスクトレイのメニューにあるので、ここで説明する。
Update画面は「次へ」をクリックしていくとComodoのサーバに接続して、最新のウィルスパターンファイルとプログラムを更新してくれる。
左図ではプログラムファイルの更新が7つあり、ファイルサイズは1093KBになっている。
Downloadが終わると自動更新され、必要があればリブートの指示が出る。
「Configure」をクリックするとインターネットへの接続方法が変更できる。通常は変更する必要は無くWindowsのインターネット接続の設定を使用すればよい。しかしノートPCを使って通常は有線LAN、外出時には無線LAN、無線が無ければ公衆回線モデムというような使用をしているのなら、ここでISPを"customized"を選び、接続方法を変更することも可能である。
なお通常は自動更新を行う設定になっているので、勝手に更新を行っている(どうもWindows起動時にチェックしているようだ)
自動更新はLaunch Padが行っている。つまりAntiVirusだけでなく、インストールされているならFirewallやAntiSpamも同時に更新されるという仕組みだ。
自動更新が終わると画面右隅に左図のようなダイアログが出てくる。
設定画面は「SETTINGS」で行う。
・On Demand Scan(手動スキャン)のGeneral設定
設定画面は左側のメニューにあるように「On Demand Scan」「On Access Scan」、「Email
can」の各スキャン別に
| General | 一般設定 |
| Advanced | 拡張設定 |
の2画面がある。あとの2つは
| Automatic Updates | 自動アップデート |
| Reports | レポート |
図は「On Demand Scan」:手動スキャンのGeneraの設定で、上から順に
| Scan these Items in〜 | スキャン対象ファイルの設定 |
| Scan Memory | メモリー内のファイルをスキャンする |
| How to respond when〜 | ウィルスを発見したときの動作設定 |
| Automatically disinfect object | 自動駆除する |
| quarantine object if they〜 | 駆除できないときには隔離部屋に移動する |
| Do not automatically disinfect〜 | スキャン終了時に処理を選択するは自動で処理を行わない |
通常は自動駆除にチェックを入れる。
| File types to scan | スキャン対象のファイルの種類 |
| All files | 全てのファイルをスキャン |
| Selective Extension | 特定の拡張子のファイルをスキャン |
| Advances Scan Options | スキャンの拡張設定 |
| Scan within compressed files | 圧縮ファイルをスキャンする |
| Scan runtime packed files | 実行可能圧縮形式ファイルをスキャンする |
現状では全てのファイルをスキャンするのが望ましいが、古い低速な機種を使用している場合は実行可能なファイルの拡張子だけを対象とするほうがスキャンが早く済む。
Runtime Packed Filesは通常は圧縮されていて、実行時に自動解凍される形式ファイルだ。ファイルがメモリー上に解凍された状態でロードしたときにチェックするらしい。
Comodoで対応している圧縮形式はZip、ARJ、CAB、RARの4つである。他のAnti-Virusでも同じだが、圧縮ファイルの検査は"圧縮された状態"で検査するもので、未対応の圧縮形式であっても実際にファイルの中身を開いたり、実行するときに通常のファイルとして検査されるので、LZHに未対応であるからウィルスに感染するというものではない。
設定画面で共通の一番下にある2つのボタンと左メニューの一番下のボタンは
| Apply | 変更した設定内容を反映する |
| Page Default | 画面単位で設定内容を初期値に戻す |
| Factory Default | 全ての設定値を初期値に戻す |
検査対象とするファイルの拡張子は「Select...」をクリックして一覧に追加や削除で指定する。
・On Demand Scan(手動スキャン)のAdvanced設定
拡張設定の画面ではスキャンのレベルが指定できる。
| Enable Heuristics | 未知のウィルスチェックを行う |
| Highest level | 高レベルのスキャン |
| Default level | 標準レベルのスキャン |
| Lowest level | 低レベルのスキャン |
3段階のチェックレベルを選択できるようになっている。
どのレベルでスキャンするかはスキャン時間やPCの性能によって変わってくるが、通常は"High"か"Default"を選べばよい。
一番下はスキャン対象外アイテムの設定。
| Select the items for exclude〜 | スキャンの対象としないアイテムを指定する |
右側の「Select...」をクリックしてファイルを指定する。
・On Access Scan(常駐監視)のGeneral設定
「On Access Scan」:常駐監視の設定項目は先のOn Demand Scan:手動スキャンとほぼ同じである。違うのは
| Enable on system startup | システム起動時に有効にする |
| Deny Access to infected〜 | 感染ファイルへのアクセスを禁止する |
の設定だけ。
他のウィルス発見時の動作や対象ファイルの設定は同じだ。
常駐監視タスクは当然起動時に有効にしておこう。
個人的な好みで常駐監視では圧縮ファイルの検査は行っていない。まぁこのあたりは個人の嗜好の問題なので、どちらでもかまわないと思う。
・On Access Scan(常駐監視)のAdvanced設定
常駐監視タスクの拡張設定も手動スキャンの設定画面と同じである。こちらにもスキャン対象外ファイルの設定があるので1つのファイルを対象外にするには手動スキャンと常駐監視の両方で指定しないといけないようだ。
・Email ScanのGeneral設定
メールのスキャンの設定画面。
| What to scan | スキャン対象の指定 |
| Scan incoming mails | 受信メールをスキャンする |
| Scan outgoing mails | 送信メールをスキャンする |
| How to respond when〜 | ウィルス検出時の動作 |
| Automatically disinfect mail | 添付ファイルを自動駆除する |
| Quarantine mail attachments | 駆除できないときは隔離部屋に移動する |
| Do not automatically disinfect and〜 | ウィルス発見時に処理動作を指定する |
| What to do when scanning〜 | スキャン中の動作 |
| Display animated icon〜 | 受信メールチェック中にアイコンを変化させる |
| Display progress indicator〜 | 送信メールチェック中に進捗表示を行う |
メール添付ファイルはウィルス発見時に駆除しておいたほうがよいので設定は"recommended:お薦め設定"でよいだろう。
・Email ScanのAdvanced設定
メールの拡張設定は結構よさそうな設定内容になっている
上から順に
| Stop unwanted mass mailers | ウィルスによる大量メール送信の防止 |
| Enable mass mailer〜 | メールを大量送信するワームを検出する |
| Alert me if any applction〜 | ワームがメールを勝手に送信するときに警告する |
| Alert me when mail is〜 | 5箇所以上にメールを同時送信するときに警告する |
| Alert me when xx mails〜 | 5秒以内に5通以上のメールを送信するときに警告する |
| Certify Email with Signature | 確認メッセージの追加 |
| Certify Incoming〜 | 受信メールに確認メッセージを追加 |
| Certify Outgoing〜 | 送信メールに確認メッセージを追加 |
5箇所、5秒、5通などの設定は変更可能だ。
メールのチェックはProxy形式でチェックするようだ。Comodo AntiVirusのフォルダにCavEmSrv.exeというモジュールがある。これの説明が「Comodo AntiVirus Email Proxy Server」となっている。Windows起動直後はCavEmSrvは動いていない。POP3やSMTPを検知するとCavEmSrvが起動され、以降は常駐するようになる。このため初回のメール送受信は少し時間が掛かる。
・自動Updateの設定
自動Updateを有効にしておくと手動のときのようにDownloadの状態の表示も全くなく、最後にLaunch
Padの終了ダイアログが右下に出てくるだけである。
ここでの設定は
| Automatically download and install | 自動Downloadとインストールを有効にする |
| Custom | カスタム設定。カスタムでは以下の項目を設定する。 |
| Check for updates automatically | Updateデータの自動チェックを行う |
| Check for update at regular | 一定時間ごとにUpdateのチェックを行う |
| Apply update automatically | 自動インストールを行う |
| Notify me when update | インストール時に確認する |
| Turn off Automatic Update | 自動Updateを無効にする |
| Configure | インターネット接続の設定 |
Updateを行うときに使用するインターネットの接続情報を指定する。通常は変更しなくてもよいだろう。
通常と異なるHttp Proxyを使うときには「I want to customize〜 」にチェックを入れて、その下の「Address」と「Port」でProxyの設定を行う。
またProxyに認証が必要なときはAuthenticationで「User Name」と「Pasword」の設定を行う。
ISPを通常と異なる設定で行うときには「Configure」で行うが、ここはUpdateで説明したのと同じ。
・レポートの設定
レポート(ログ)の設定は2つだけ
| Append to the end | レポートを前回レポートの最後に追加する |
| Lmit the size〜 | レポートぼサイズを指定した容量以上のときは最古のデータを消去する |
である。
ではスキャンを実行してみよう。スキャン画面からのスキャンでも右クリックからのスキャンでも画面は同じ
・手動スキャン
マイコンピュータのスキャン中の画面。
真ん中の表がスキャンの処理数で
| Scanned | スキャンしたオブジェクトの数 |
| Infected | 感染オブジェクトの数 |
| Disinfected | 修復したオブジェクトの数 |
| Quarantined | 隔離したオブジェクトの数 |
| Deleted | 削除したオブジェクトの数 |
それぞれ「Files」にファイル数、「Memory object」にメモリー上のオブジェクトの数が表示されている。
「Elapsed Time」:経過時間。ここでは24分経過
その下が
| Folders | スキャンしたフォルダの数 |
| Compressed Files | スキャンした圧縮ファイルの数 |
一番下にあるのが感染ファイルの情報で
| infected Objects | 感染ファイル名 |
| Virus Name | 検出したウィルス名 |
| Status | 駆除の状態 |
右側にあるPC画面の下にあるボタンは
| Pause | スキャンの中断(再開可能) |
| Stop Scan | スキャン中止(再開不可) |
スキャンの速度は速くもなく、遅くもなくといったところか。
・右クリックスキャン
右クリックスキャンも表示される画面は他のスキャンと同じ。
ここでは「eicar.zip」をスキャンしてみた。
On Demand Scanの設定で「Scan Memory」をONにしているため手動スキャンでメモリー内のオブジェクトのチェックを行っている。
一番下の感染ファイルに"Eicar-Test-File"と感染ファイルのウィルス名が表示され、"Disinfected Failed"と駆除不可能の状態が表示されている。
最上部に感染ファイルが見つかったので「Repair」ボタンをクリックしてねと表示されているが、駆除できないということなので無視するしかない。
・スキャン結果
スキャン結果では結果表示と、検出ファイルのアクションを指定する。結果表示はスキャン中と同じ内容
| Scaned | スキャンしたオブジェクト数 |
| Infected | 感染オブジェクト数 |
| Disinfected | 駆除したオブジェクト数 |
| Quarantined | 隔離したオブジェクト数 |
| Deleted | 削除したオブジェクト数 |
その下にはファイル数が表示され、これはスキャン中と同じでFolders:フォルダの数、Compressed
Files:圧縮ファイルの数、Elapsed Time:経過時間。
その下にある感染ファイルもスキャン中と同じ。
一番下にアクションのボタンが並んでいる。
| Disinfect | 駆除(ファイルからウィルス部分を削除して修復) |
| Quarantine | 隔離部屋へ移動 |
| Delete | 削除 |
| Close | スキャン結果画面を閉じる |
である。「Select All」にチェックを入れると感染した全ファイルに対して同じアクションを実行できる。
・常駐監視
常駐監視をテストするためにブラウザ(Firefox)でeicar.comをDownloadしてチェックする。
ウィルスを検出すると左図のダイアログが表示される。
| Virus Name | ウィルスの名称 |
| Action Taken | 隔離など処理した内容(ここではQuarantined:隔離) |
| Object Name | 検出したファイルの名称 |
判りやすいダイアログという印象だ。
・Emailのスキャン
メール送信時のダイアログである。大きなファイルだと結構時間が掛かるので、公衆回線を使ってメールをちんたら送っている筆者には少し辛い。どっちみちDisk内のファイルを送信しているので、送信時のチェックは不要かもという気持ちになる。
受信時はアイコンが変るだけなので省略。
メールのチェックメッセージはこんな感じ。Scan Dateのところの「"y」ってなんだ?
・設定ファイル(CavSetting.iniファイル)
Comodo AntiVirusをインストールしたフォルダにCavSettings.iniがある。設定した内容はこのiniファイルの保存されるようだ。「SETTINGS」のGUI画面を使って設定もできるが、スキャン対象の拡張子を一度に変更するときやオプションを試してみたいときには、このiniファイルを直接編集してみるのも楽しいだろう。
・設定ファイル(メールスキャン用CEMset.ini)
| [EmailScan] ScanIncomingEmail=0 ScanOutcomingEmail=0 VirusFoundRespond=2 WhatGUI=3 MassMailer=1 InvisibleCheck=1 SendMassMails=0 SendMailCount=5 AlertMails=0 AlertMailCount=5 AlertMailTime=5 CertifyMail=3 |
メールスキャン用の設定ファイルは「C:\Documents and Settings\All Users\Application
Data\Comodo\Comodo AntiVirus\Email Scanner」にあるCEMset.iniである。
左の設定ではメールスキャンは行わない設定になっている(2行目と3行目のScanxxxEmail=0)
・cavasm.exe
常駐タスクにcavasm.exeというモジュールが動いている。これは「Comodo Anti-Virus
and Anti-Spyware Monitor」というものでComodoのAntiVirusはAntiSpyware機能もあり、共通の常駐タスクでVirusとSpywareの検出を行っているようだ。
ただしSpywareの検出能力は不明
・Winsockのレジストリ
Email Proxyを使ってメールのウィルスチェックを行っているため、Winsockのレジストリを書き換えている。これはFirewall製品でも同じなので特別なことではないが、仮にComodo以外のFirewallを使っている環境にComodo
AntiVirusをインストールするとWinsockのレジストリには「WinsockはFirewallドライバとComodo
Email Proxyドライバが関係する」という内容の値が設定される。
Comodo AntiVirusインストール前のレジストリはWinsock_Backup.regとしてインストールフォルダに保存されている。
この状態でFirewallを他の製品に入れ替えるとレジストリが正しく元に(WinsockはComodo
AntiVirusだけに関係する値に)戻るのか不明というか、多分戻らない製品が出てくると思われる。そうなるとFirewallを入れ替える場合は先にComodo
AntiVirusをUninstallしておくのが良いと思う。
ComodoのAntiVirusの紹介をこれで終えるが、AVGやAntiVirを使っている筆者の感想は「結構良い製品」である。実際にウィルスの検出能力であるVB100%などの資料が出ていないが、ある程度期間が来れば何らかの報告があるだろう。登録されているVirusリストを見るとWinny系のトロイの木馬もあるようだが、実際にトロイの木馬やSpyware系の検出能力は期待しないほうがよい。全てを1つの製品(このComodoAntiVirus)に期待するのは少し酷だろう。他社で優秀なAntiSpyware製品があるので併用することをお薦めする。
同じComodoのFree製品を見ていると「Trustix」というブランドのセキュリティ製品がある。どうやらComodoに買収され、TrustixのAntiVirusを改良したのがComodo
AntiVirusのようだ。
しかし企業ユースでも無償とは太っ腹だな。