 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > SecuTool > ewido Security Suite | |||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > SecuTool > ewido Security Suite | |||||
Spywareもいろいろな種類があるので、対策ツールにも得意不得意がある。ドイツの洗練された工業製品を連想させるewidoのSecurity
Suiteは質実剛健なSpyware対策ツールだ。主にSpywareのファイルを検出/削除することでPCを保護する。
Downloadはhttp://www.ewido.net/en/download/から行う。
Downloadは「Download now」のボタンをクリックするだけで完了。
筆者が試したときには「Limited christmas version」ということでクリスマスバージョンだった。もう3月なんだけど・・・
左図で分かるように日本語をはじめ英語、独語などいろいろあるがSetupモジュールは同じ。
《Grisoftとの関係》 「ewido networks is part of the Grisoft Group. For our customers and partners nothing will change.」とあるようにGrisoftがewidoに資本参加してGrisoftグループの一員となりました。会社が消えたわけでもなく、ユーザとの関係は一切変化はありませんとのことです。
ewido Security Suiteは本来有償の商品だが、お試し期間の14日間は全ての機能が動作する有償のPlusバージョンとなり、お試し期間終了後は機能に制限があるFreeバージョンとなる。機能をewidoのサイトから引用すると
| 機能 | Freeバージョン |
| 毎日更新ファイルを提供 | ○ |
| 強力な定義ファイルでSpywareを駆除する | ○ |
| スタートアップ、プロセス、コネクションの一覧表示と強制終了が可能 | ○ |
| 差分更新可能なUpdate | ○ |
| UPXやAspackなどの実行可能圧縮ファイルを仮想PCで診断 | ○ |
| 無害に見える分割Spywareを検出 | ○ |
| E-Mailで疑問をサポート | ○ |
| ファイルやスタートアップの設定から自動駆除 | ○ |
| 怪しいファイルを隔離部屋へ移動 | ○ |
| 日本語を含むマルチ言語対応 | ○ |
| Spywareの侵入を常駐機能で検出 | − |
| メモリー上の実行中のプロセスからSpywareを検出 | − |
| SpywareからSecurity Suiteの機能停止を防御する | − |
| 圧縮ファイルの内部をスキャン | − |
| システムファイルに寄生したトロイの木馬を検出/削除 | − |
| 自動Update | − |
なお適用するOSはWindows2000、XPである。Windows9x系は残念ながら使用できません。
インストールは途中で「表示言語の選択」があるので「English」を選択する。ここで「English」を選択してもちゃんとプログラムは日本語で表示されるので心配しなくて良い。
インストール後に「定義ファイルが見つからないから最新データをを取得しろ!」と表示されるので「OK」をクリックして最新データを取得する。データサイズは1MBくらいなのでDownloadは早々に終了する。
これが最初に表示される画面。左側にメニューが並んでいる。
「セキュリティステータス」には
「リアルタイム プロテクション」
「自動更新」
がある。これは有償版の機能なので購入しなければ14日後には無効になる。
「追加」にはテストウィルスのDownloadやサウンドの無効化などのメニューが用意されている。
ちなみにewidoのライセンスを購入すると
右下の表示が
プレミアムサポート:Yes
プレミアムアップデート:Yes
制限:No
ライセンスの有効期限:不明?(文字が重なっている)
に変る。これでリアルタイムプロテクションも自動更新も有効にして使用できる。
メニューの順に最初はUpdateから行う。
Updateを行うには「アップデートをスタート」をクリックするだけ。
Proxyを利用しているときには下にある「プロキシの使用」にチェックを入れて、Proxyのアドレスとポート番号を設定する。Proxyに認証が必要なときは右側の「プロキシ認証」にチェックを入れてユーザー名とパスワードを設定する。
バーが100%になればUpdateは完了。「アップデートは成功しました」と左下に表示される。
・自動Update
有償版は自動Update機能を持っている
PCが動作中は定期的にUpdateデータの有無を監視して、最新データの取得を自動で行う。「プニュ」という音ともにUpdateが行われる。左図はUpdate時に画面右下に表示される進捗バー。「アップデートが成功しました」の表示が出てしばらくすると勝手に消える。
この自動Update機能には定義ファイルに無い未知のトロイの木馬がewidoを停止させようとしたときに最新の定義を自動取得するという機能もあるらしい。
筆者のWindowsXP(SP2)環境ではこのUpdateの表示が出るときにIMEバーが表示される。この表示をクリックするか、図が消えた後ならタスクトレイノアイコンをクリックすると消える。
ではスキャンを行う。初めてスキャンを行うときには必ず最新データを取得してから行うこと。
バージョンが3.5になってスキャン画面が変更された。
以前のようななにも指定が無い殺風景な画面からきれいなGUIに変更されている。
スキャン画面は
「Complete System Scan」:メモリー、レジストリ、全ハードディスクのスキャン
「Fast System Scan」:メモリー、レジストリ、OS(Windowsシステム)のフォルダ内のスキャン
「Registry Scan」:レジストリのスキャン
「Memory Scan」:メモリーのスキャン
「Custom Scan」:カスタムスキャン(設定はご自由に)
「Settings」:スキャンの設定
よく考えてみれば、この画面は日本語化されていないなぁ・・・なぜだ?
続いて実際のスキャン画面
ここではComplete Scanを行っている。
スキャンオブジェクト(メモリーやレジストリなど)の数は90,000近いが、実行して4秒しか経過していない。恐るべき速さ?だが本当にスキャンしているのだろうか、ちょっと不安にさせる。
実際ewidoを入れてからトロイの木馬に感染したことは無いので心配することは無いのだが・・・
どのスキャン形式を選択しても画面表示は同じでスキャンの対象が異なるだけである。下にある4つのボタンは
「一時停止」:スキャンの一時停止
「キャンセル」:実行中のスキャンを中断してスキャンメニューに戻る
「レポートの保存」:スキャン結果を保存する
「View Report」:保存した結果を表示する
次にメモリー、ファイルをスキャンするが、こちらは少々時間が掛かる。
左図はメモリー上のプロセスをスキャンしているところ。
ewidoのFree版は試用期限が終了すると常駐保護機能が働かなくなる。常駐機能が有効ならメモリー上にMalwareやSpywareが存在することは無いのだが、Free版ではメモリーのスキャンは不可欠な機能だ。
次はレジストリのスキャン。
レジストリも永く使用していると結構なサイズに肥大しているので時間が掛かる。
スキャンオプションの指定。
How to Scan?の項目は上から順に
「他のファイルに感染したMalwareをスキャンする」
「セットアップファイルの中身をスキャンする」
「未知のMalwareの検出を行う」
「自己解凍型圧縮ファイルの中身をスキャンする」
「NTFSの拡張領域をスキャンする」
次のUnwanted Softwareでは
「スパイウェアをスキャンする」
「トラッキングCookieをスキャンする」
「リスクウェアをスキャンする」
である。
最後のWhat to scan?ではスキャンの対象を指定する
「全てのファイルをスキャンする」と「拡張子を指定してスキャンする」から選択する。スキャン対象となる拡張子は「Edit Extensions」をクリックして選べるようになっている。
スキャン対象の拡張子の指定画面も見ておく。
上のボックスに拡張子を指定して「Add extension」をクリックすると下にある対象となる拡張子の一覧に追加される。「Remove extention」で一覧から削除される。
「Load default extension list」は初期設定に戻すときに使用する。
拡張子には実行可能形式や圧縮形式からドキュメントなどほとんどのものが含まれているが、新たな拡張子があれば気軽に追加すればよい。
感染が見つかると警告音とともにダイアログが表示される。
ここで「アクションの実行」を選択して「OK」ボタンをクリックする。
アクションには
「クリーン」:駆除(隔離部屋送り)
「none」:何もしない(無視)
がある。通常は「クリーン」を選択する
下にある2つのチェックは
「暗号化した〜」:隔離部屋へ暗号化して移送する
「全ての感染に〜」:感染ファイル発見ごとにアクションを行わない
である。「全ての感染に〜」にチェックを入れてOKをクリックすると、以降感染ファイルを見つけても自動で同じアクションが実行される。
| 有償版(Plus)では常駐保護機能が働いているので、ファイルの保存時に上図の警告が表示されます。ただしトラッキングCookieや圧縮された状態のSpywareなど実害がないファイルは保存時に警告が出ない場合があります。圧縮ファイルは手動スキャンでは内部まで検査されます。 |
今回のスキャンで検出されるのはあらかじめ仕込んでおいた各種圧縮形式のeicarとBackDoorツール。テストで何も出てこないと紹介記事が書けない。
スキャンの終了。
感染ファイル(infected objects)は6個である。
スキャン自体は16分で終わっている。途中で発見!のダイアログが出たまま気がつかずに止まっていたので本当はどれくらいなのか想像できない。
Fast System Scanだと5分くらいで終わる。
下にあるボタンは
「New Scan」:新しいスキャンを実行
「キャンセル」:スキャンの中断
「レポートの保存」:レポートをテキスト形式で保存
「View report」:レポートの表示
である。
レポートの表示はこんな感じだ。
eicarが4つ見つかっているが、RARとRARの自己解凍型、それにCAB形式である。
検体は大事にしないといけないので「無視」を選んで駆除していない。
以前のバージョンではここで次のスキャンを行うようになっていたが、ボタンが前の画面に移動している。
なお、スキャン終了時に感染ファイルの削除を行うと「再起動せよ!」のダイアログが出てくる場合がる。
自動起動されているファイルを削除するが、実行中のプロセスは強制終了されていないので再起動が必要なときに表示される。
「分析」ではスタートアップ情報、コネクション情報、プロセス情報が表示可能で、それぞれ強制終了ができるようになっている
スタートアップではWindows起動時に自動起動されるタスクの情報が表示される。ここでは
「レポートの保存」:表示されているリストを保存
「更新」:最新を表示する
「削除」:スタートアップから削除する
「表示」:スタートアップが指定されているレジストリを表示
である。
「表示」ではレジストリエディタが起動して、該当するキーが表示されるので、自分でレジストリを変更してもよいが、ここで「削除」をクリックしたほうが簡単である。
この表示があるところがewidoの良いところで、最近のSpywareはトロイの木馬としてデータを送信する機能を持っていることを表している。
「レポートの保存」:表示されているリストを保存
「更新」:最新を表示する
「コネクションの切断」:コネクションを強制終了する
である。
怪しいポートが開いているのを見つけるのに役立つ。
プロセス情報は現在実行中のプロセスの一覧。
左図では真ん中辺りにVIRTUA~1.EXEというSpywareが実行中であることがわかる。
ここでも
「レポートの保存」:表示されているリストを保存
「更新」:最新を表示する
「プロセスの終了」:実行中プロセスの強制終了
が選択できる。
ewidoはスキャン時に感染ファイルを削除するが、プロセスの強制終了は行わないので、後に再起動する必要があるということだ。
バックアップの保存では隔離したファイルを元に戻したり、完全削除することが可能。
「更新」:最新を表示
「復元」:隔離部屋から元に戻す
「最終的に削除」:隔離部屋からファイルを削除する
である。
隔離部屋には暗号化されて保存しているので、実行できないし、他のAnti-VirusやAnti-Spywareでも検出されることはない。
最初の画面の「追加」にある「感染の可能性があるファイルを送信」をクリックするとewidoのページが開く。ここで感染が疑わしいファイルを送信して、分析してくれるらしい。
感染と表示されないが、怪しいファイルをこのページからewidoに送信する。Descriptionとyour
e-mailは記入しなくてよい。
感染と表示されたファイルは送らないこと。
ewido Security Suiteの有償版は上記の機能のほかに常駐してシステムを保護やプロセス中のSpyware検出など、便利な機能が満載である。Anti-Virusとの相性も保障されており、同時に常駐させても問題が発生しないことをewidoが公表しています。
日本語も標準で利用できるewido Security Suite Plus版をぜひ利用ください。
| 実際に使用した感想 ライセンスを購入してPlusバージョンで使用しています。他の常駐タスクのKerio4やAntiVirus(H+BEDEVのAntiVir)と仲良く共存していて問題は発生していません。自動Updateは一日に2〜3回データが更新されます。Updateに必要な時間も数秒であり、自動で実行されるので気になりません。 メモリーの使用量はそれほど多くなく、AntiVirやKerio4と同じくらいの10MBくらいです。ewido導入によるレスポンスの変化はあまり感じません。レスポンスは使用するマシンスペックにも大いに関係するので一概に言えませんが、筆者の感想です。  ewidoが対応しているSpyware、Trojanの総数はサイトに表示指定あるように10万を超えています。また新種や亜種が発生しても1日2回以上のUpdateですばやく対応しています。これは他のAnti-VirusやAnti-Spywareと比較してewidoの優れた点の一つだと思います。 |
| 価格 | USドル29.95(日本円で支払うときは3,995円くらい) 2個以上の同時購入で5ドル安くなります |
| 販売形態 | ライセンス番号の送付 |
ewidoはファイルをスキャンすることでSpywareやトロイの木馬を駆除することを目的としているようだ。つまりAnti-VirusのSpyware・Trojan版というべきか。
感染ファイルの削除能力はテストした感想では、「優秀」である。ただしレジストリは残したままのケースが見受けられたので、Ad-Awareでレジストリをきれいに削除しておいたほうがよいだろう。
DLLなどの危険なファイルは削除されているので、レジストリに残っていても問題は無いので安心ではある。
Spyware対策ツールは得意・不得意がある。Ad-Awareでは検出されるがewidoでは検出されないというケースだ。これはewidoが悪質なSpyware、トロイの木馬、キーロガーを対象としているのに対して、Ad-AwareはSpyware、Adware、Cookieを悪質でないものも含めて削除の対象としているためである。このためAnti-Spywareは常駐タイプと非常駐タイプを複数併用するのが望ましい。