© Doctor Web, 2015。全ての権利は保護されています。

Dr.Web Anti-virus for Windows serversバージョン10.0管理者マニュアル24.03.2015

ロシア本社2-12A, 3rd str. Yamskogo polyaMoscow, Russia125124

ウェブサイト www.drweb.com電話 +7 (495) 789-45-87

リージョナルオフィスに関しては、弊社公式サイトをご覧ください。

このドキュメントの所有権はDoctor Webが有します。本ドキュメントのいかなる部分も、いかなる形式、またいかなる方法でも、購入者が個人的な目的で使用する場合を除いて、複製、出版、配信してはなりません。

商標Dr.Web、SpIDer Mail、SpIDer Guard、CureIt!、CureNet!、AV-Desk、Dr.WEBロゴは、ロシアおよび／または他の国々において登録されたDoctor Web の商標です。このドキュメントで言及されたその他の登録された商標、ロゴタイプ、会社名の所有権は、それぞれの会社が有します。

責任の制限Doctor Webとそのディストリビューターは、本ドキュメント、および本ドキュメントの内容の誤った解釈や不理解などによって、間接的または直接的に発生するエラーや損失、およびそれ以外のいかなる損害に対しても責任を負いません。

Doctor Web, Ltd.

お客様より寄せられる、多大なるご支援と信頼に心より感謝いたします。

Doctor Webはマルウェアおよび迷惑メールに対する効率的な保護を提供するDr.Web®情報セキュリティソリューションの開発および販売を行っています。

Doctor Webのお客様は個人ユーザーから政府機関、また中小企業から国際的な企業まで、世界中のあらゆる地域に広がっています。

Dr.Webアンチウイルスソリューションは1992年以来、卓越したマルウェアの検出能力と国際的な情報セキュリティ基準への適合で良く知られています。

Dr.Webソリューションに対して繰り返し与えられる政府による認証や表彰、また、世界中に広がるユーザーが、弊社製品の信頼性の高さを証明しています。

管理者マニュアル

4

目次

61. はじめに

71.1. このマニュアルについて

71.2. 表記規則

81.3. ウイルスの検出手法

102. システム要件

113. プログラムのインストール

113.1. インストール手順

133.2. プログラムのアンインストールと変更

144. ライセンス

144.1. 有効化の方法

154.2. ライセンス更新

165. 開始する

185.1. アンチウイルスの動作検査

196. ツール

196.1. ライセンスマネージャー

196.2. データ損失防止

206.3. アンチウイルスネットワーク

206.4. 隔離マネージャー

226.5. サポート

22レポート

247. 更新

268. Dr.Web Scanner

268.1. システムのスキャン

288.2. ウイルス検出時のアクション

288.3. Scannerの設定

338.4. コマンドラインモードでのスキャン

348.5. Console Scanner

348.6. スキャンの自動実行

359. 設定

3610. 一般設定

管理者マニュアル

5

3610.1. 通知

3810.2. 更新

3810.3. ネットワーク

4010.4. セルフプロテクション

4110.5. Dr.Web Cloud

4210.6. アンチウイルスネットワーク

4210.7. デバイス

4310.8. アドバンス

4511. 除外

4511.1. ファイルとフォルダ

4511.2. プログラムとプロセス

4612. 保護コンポーネント

4612.1 SpIDer Guard

4612.1.1. SpIDer Guardの設定

4912.2. 予防的保護

52付録

52付録 A. コマンドラインパラメータ

52ScannerとConsole Scannerのパラメータ

56Dr.Web Updater コマンドラインパラメータ

59リターンコード

60付録 B. コンピューター脅威と駆除手法

60コンピューター脅威の分類

63脅威に対するアクション

64付録 C. ウイルスの名称

管理者マニュアル

61. はじめに

1. はじめに

Dr.Web Anti-virus for Windows servers は、あらゆる種類のウイルス、ルートキット、トロイの木馬、スパイウェア、アドウェア、ハッキングツール、および外部からの侵入を試みるその他様々な悪意のあるオブジェクトからRAM、ハードディスク、リムーバブルメディアを多角的に保護します。

最大の特徴は Dr.Web のモジュールの構造にあり、また全てのコンポーネントとOSにおいて共通のアンチウイルスエンジンおよびアンチウイルスデータベースを使用します。現時点で、Windows向け Dr.Web 製品に加えてIBM® OS/2® Novell® NetWare® Macintosh® Microsoft Windows Mobile® Andorid® Symbian®、Unix®系システム（Linux®、FreeBSD®、Solaris®など）向けアンチウイルスがあります。

Dr.Web はインターネット経由で簡単かつ効率的にデータベースおよびソフトウェアコンポーネントの更新を行います。

Dr.Web は様々な望ましくないプログラム（アドウェア、ダイアラー、ジョークプログラム、リスクウェア、ハッキングツール）を検出し、お使いのコンピューター上から削除します。望ましくないプログラムの検出およびそれらのプログラムに含まれているファイルに対するアクションの実行には、Dr.Web の標準的なアンチウイルスコンポーネントが使用されます。

Microsoft® Windows®向けの Dr.Web アンチウイルスソリューションには、それぞれ以下のコンポーネントが含まれています：

Dr.Web Scanner (Scanner) – グラフィックインターフェースを持つアンチウイルススキャナです。このプログラムはユーザーのリクエストまたはスケジュールに応じて起動し、コンピューターのウイルススキャンを行います。

Dr.Web Console Scanner – Dr.Web Scanner のコマンドラインバージョンです。

SpIDer Guard – メインメモリ内に常駐し、ファイルおよびRAMをオンザフライでスキャンすることでウイルスの活動を即座に検出します。

Dr.Web Update – 登録済みユーザーのアンチウイルスデータベースとその他のコンポーネントファイルの更新を受け取り、自動でインストールを行います。

SpIDer Agent – ユーザーが Dr.Web のコンポーネントの設定と管理を行うためのユーティリティです。

管理者マニュアル

71. はじめに

1.1. このマニュアルについて

このユーザーマニュアルには、Dr.Web のインストールについて、及び効果的な使用方法についての情報が記載されています。

グラフィックインターフェース（GUI）に関する詳細な説明は、いずれのコンポーネントからもアクセス可能な Dr.Web のヘルプ内にあります。

このユーザーマニュアルには、Dr.Web のインストール方法、プログラムの使用方法、ウイルス脅威によって引き起こされるよくある問題を解決するための方法が記載されています。主に、 Dr.Web コンポーネントの標準的な動作モード（デフォルト設定での）についての説明になります。

付録には、Dr.Web の設定に関する詳細な情報が記載されています。

製品は常時アップデートされています。実際のプログラムのインターフェースは、本マニュアルの図とは異なる場合があります。現状を反映した最新のマニュアルは http://download.drweb.co.jp/doc/ でご確認いただけます。

1.2. 表記規則

本マニュアルでは、 以下の文字・ 記号を使用しています。

文字・記号 意味

太字 グラフィカルインターフェース（GUI）のボタン及びその他のエレメントの名称や、本書のとおり正確に入力する必要のある入力例

緑色の太字 Doctor Web 製品またはコンポーネントの名称

緑色で下線付きの文字 本書の他のページや他のWebページへのリンク

固定幅フォント コマンドラインの入力例、アプリケーションの出力例

イタリック体 ユーザーが提供しなければならない情報を表すプレースホルダ。 コマンドラインの入力例がイタリック体の場合は、パラメータ値を示します。

また、定義としての用語を示す場合もあります。

大太字 キーボードのキー名称

プラス記号 '+' キーの同時押し（例: ALT+F1 は、ALTキーとF1キーを同時に押すことを意味します。）

感嘆符 重要な注釈、またはエラーなどを引き起こす可能性のある状況に関する警告

管理者マニュアル

81. はじめに

1.3. ウイルスの検出手法

Doctor Web アンチウイルスソリューションは、悪意のあるソフトウェア検出に複数の手法を同時に使用します。それにより、感染が疑われるファイルに対する徹底した検査を実行し、ソフトウェアの動作をコントロールすることが出来ます。

検出手法

シグネチャ解析

スキャンはまず、ファイルコードセグメントを既知のウイルス署名と比較するシグネチャ解析で始まります。シグネチャはウイルスを特定する為に必要かつ十分な、連続するバイトの有限なシーケンスです。シグネチャ辞書のサイズを抑える為、 Dr.Web アンチウイルスソリューションはシグネチャのシーケンス全体ではなくチェックサムを使用します。チェックサムはシグネチャを特定し、ウイルス検出および駆除の正確さを維持します。Dr.Web ウイルスデータベース は、いくつかのエントリによって、特定のウイルスのみでなく脅威のクラス全体を検出できるよう設計されています。

Origins Tracing™

シグネチャ解析の完了後、Dr.Web　アンチウイルスソリューションは既知の感染メカニズムを用いる新種・亜種ウイルスを検出するため、ユニークなテクノロジー　Origins Tracing を使用します。それにより、Dr.Web ユーザーは Trojan.Encoder.18（別名 gpcode）のような悪質な脅威から保護されます。新種・亜種ウイルスの検出を可能にするほか、Origins Tracing はDr.Web ヒューリスティックアナライザによる誤検出を劇的に減らします。Origins Tracing アルゴリズムを使用して検出されたオブジェクトの名前には.Origin拡張子が付きます。

実行のエミュレーション

プログラムコード実行のエミュレーション手法は、署名のチェックサム解析が効果的ではない場合、または著しく困難な場合（サンプルから信頼できる署名を抽出できないため）に、ポリモーフィック型ウイルスや暗号化ウイルスを検出するために使用されます。プロセッサおよびランタイム環境のプログラミングモデルである エミュレータ が、解析するサンプルコードの実行をエミュレートします。エミュレータは保護されたメモリスペース（エミュレーションバッファ）内で動作し、解析するプログラムの実行は命令ごとに順次行われます。ただし、これらの命令がCPUによって実際に実行されることはありません。ポリモーフィック型ウイルスに感染したファイルがエミュレータによって処理されると、ウイルスのボディが復号化され、署名のチェックサム解析によって簡単に識別されるようになります。

ヒューリスティック解析

ヒューリスティックアナライザの検出手法は、ウイルスコードに典型的な、または非常にまれな特徴（属性）に関する特定の情報基づいています（ヒューリスティック）。各属性は、その深刻度および信頼度を定義する重み係数を持っています。属性が悪意のあるコードであることを示している場合には重み係数がプラスになり、コンピューター脅威の特徴を示していない場合はマイナスになります。ヒューリスティックアナライザはファイルの重み付け合計値に応じて、未知のウイルスに感染している可能性を計算します。それらの合計が一定の閾値を超えている場合、ヒューリスティックアナライザによって、オブジェクトは未知のウイルスに感染している可能性があると判定されます。

ヒューリスティックアナライザはファイル解凍の柔軟なアルゴリズムである FLY-CODE™ テクノロジーも使用します。このテクノロジーは、 Dr.Web にとって既知のパッカーのみでなく、これまでに発見されていない未知のパッカーによって圧縮されたファイル内に悪意のあるオブジェクトが存在する可能性をヒューリスティックに検出します。Dr.Web アンチウイルスソリューションはパックされたオブジェクトのスキャン中に構造エントロピー解析も使用します。このテクノロジーはコードの配置を解析することで脅威を検出します。そのため、1つの検体から、同じポリモーフィックパッカーによってパックされた他の多くの脅威を検出することが可能になります。

不確実な状況で仮説を扱うあらゆるシステム同様、ヒューリスティックアナライザもまたタイプ I またはタイプ II のエラーを侵す可能性があります（ウイルスを見逃す、または誤検知）。そのため、ヒューリスティックアナライザによって検出されたオブジェクトは「疑わしい」オブジェクトとして定義されます。

上記の検出手法に加え、 Dr.Web アンチウイルスソリューションは既知の悪意のあるソフトウェアに関する最も新しい情報も使用します。Doctor Web ウイルスラボ のエキスパートによって新しい脅威が発見されると、そのウイルスシグネチャ、振る舞い特性、属性を追加した更新が即座に配信されます。更新は1時間に数回行われる場合もあり、たとえ新

管理者マニュアル

91. はじめに

種のウイルスが Dr.Web 常駐保護を通過してシステムに侵入した場合でも、更新後には検出され駆除されます。

管理者マニュアル

102. システム要件

2. システム要件

Dr.Web をインストールする前に次のことを行って下さい。

他のアンチウイルスの常駐コンポーネントとの非互換性の問題を避けるために、コンピューターから他のアンチウイルスパッケージを全てアンインストールして下さい。

オペレーティングシステムのメーカーが推奨している重要な更新を全てインストールして下さい。お使いのオペレーティングシステムのサポートが終了している場合は、新しいものにアップグレードしてください。

Dr.Web は、以下の要件を満たすシステムで使用することができます。

項目 要件

CPU i686互換プロセッサ

OS 32ビットプラットフォーム：

Microsoft® Windows Server® 2003 Service Pack 1

Microsoft® Windows Server® 2008 Service Pack 2 以降

64ビットプラットフォーム：

Microsoft® Windows Server® 2008 Service Pack 2 以降

Microsoft® Windows Server® 2008 R2

Microsoft® Windows Server® 2012

Microsoft® Windows Server® 2012 R2

Microsoftの公式サイトから特定のシステムコンポーネントをダウンロード・インストールする必要のある場合もあります。その場合、該当する Dr.Web コンポーネントについての通知とダウンロードリンクの提供がプログラムによって行われます。

RAMの空き容量 512 MB以上

ハードディスクの空き領域

Dr.Web コンポーネント に750 MB

インストールの際に作成されるファイルには別途容量が必要となります。

解像度 推奨される最少画面解像度： 800x600　

その他 Dr.Web ウイルスデータベース および Dr.Web コンポーネントを更新するために、インターネットへの接続が必要です。

Dr.Web Anti-virus for Windows Server は、バージョン 6.0以前の Dr.Web for Microsoft ExchangeServer Dr.Web for IBM Lotus Domino Dr.Web for Kerio WinRoute Dr.Web for KerioMailServer Dr.Web for Microsoft ISA Server and Forefront TMG Dr.Web for Qbik WinGate との互換性を持ちません。

管理者マニュアル

113. プログラムのインストール

3. プログラムのインストール

Dr.Web のインストール前には システム要件 をお読みになり、以下の操作を行ってください。

お使いのOSバージョンに対するMicrosoft社からの重要な更新を全てインストールして下さい（http://windowsupdate.microsoft.com から入手可能です）。

システムユーティリティでファイルシステムを検査し、欠陥が発見された場合にはそれを取り除いて下さい。

動作中のアプリケーションを全て閉じて下さい。

既存のコンポーネントとの間に生じる可能性のある競合を避けるため、コンピューター上にインストールされているアンチウイルスソフトウェアを全て削除してください。

3.1. インストール手順

Dr.Web のインストールを行うことができるのは、管理者権限を持った―ユーザーのみになります。

Dr.Web アンチウイルスソフトウェアのインストールには次の2つのモードがあります。

バックグラウンドモード

通常モード

コマンドラインパラメータを使用したインストール

コマンドラインパラメータを使用して Dr.Web をインストールするには、実行ファイル名と必要なパラメータ（これらのパラメータはバックグラウンドモードでのインストール、インストール言語、インストール後の再起動に関与します）をコマンドライン内に入力してください。

パラメータ 説明

lang インストールに使用する言語。このパラメータの値は ISO 639-1言語コードです。

reboot インストール完了後にコンピューターを自動的に再起動

silent バックグラウンドモードでのインストール

例えば Dr.Web をバックグラウンドモードでインストールし、インストール後に再起動を行う場合は、次のコマンドを実行します。

drweb-1000-winsrv.exe /silent yes /reboot yes

通常インストール

インストールウィザードの指示に従って進んでください。ウィザードがコンピューターへのファイルのコピーを開始する前であれば、途中で次の操作を実行することが出来ます。

戻る をクリックすると前のステップに戻ります

次へ をクリックすると次のステップへ進みます

終了 をクリックするとインストールを中断します

管理者マニュアル

123. プログラムのインストール

Dr.Web のインストール

1. コンピューター上に他のアンチウイルスソフトウェアがインストールされていた場合、インストールウィザードはDr.Web と他のアンチウイルス間の非互換性について警告し、その削除を勧めます。

インストールウィザードによって、インストールファイルが最新のものであるかどうかのチェックが行われます。入手可能な新しいインストールファイルがある場合、インストール前にそのファイルをダウンロードするようユーザーに提案します。

2. 使用許諾契約書が表示されます。インストールを続行するには規約をお読みになり、同意して 次へ をクリックしてください。

3. このステップで、アンチウイルスコンポーネントが脅威に関するリアルタイムな情報を使用することを可能にする Dr.Web Cloud Serviceへの接続を勧められます。これらの情報は Doctor Web サーバー上に保存され、更新されていきます。

次へ をクリックします。

4. Dr.Webの動作に必要なライセンスの提示を要求されます。

以下の操作のうちいずれか1つを実行してください。

キーファイルがハードドライブまたはリムーバブルメディア上にある場合、 有効なキーファイルのパスを指定する をクリックし、開いたウィンドウ内でキーファイルを選択してください。パスを変更するには、参照 をクリックし、別のキーファイルを選択します。

キーファイルをインストールせずにインストールを続行する場合、後でライセンスを取得する を選択してください。このオプションを選択した場合、有効なキーファイルを取得するまでプログラムコンポーネントは動作しません。

次へ をクリックします。

5. プログラムのインストール準備が完了した旨の通知が表示されます。デフォルトのパラメータでインストールを開始するには インストール をクリックします。

インストールするコンポーネントを選択するには、インストールパラメータ をクリックして、インストールパス及びその他の追加パラメータを指定してください。このオプションは上級者ユーザー向けです。

6. 先のステップで インストール をクリックした場合、手順 9 に進んでください。それ以外の場合、インストールパラメータ ウィンドウが表示されます。

コンポーネント タブでは、インストールするコンポーネントを指定することが出来ます。

7. インストールパス タブでは、インストールパスを変更することが出来ます。

8. 手順 4 で有効なキーファイルを指定した場合は、アドバンスオプション タブで、ウイルスデータベース及びその他のプログラムコンポーネントに対する更新をダウンロードするための インストール中に更新する チェックボックスにチェックを入れることが出来ます。また、このウィンドウでは Dr.Web へのショートカットを作成することも可能です。

インストールパラメータの調整が終了したら ОК をクリックします。キーファイルを指定して、手順 8 で インストール中に更新する を選択した場合、及びデフォルトインストールの間には、ウィザードがウイルスデータベースおよびDr.Web のコンポーネントを更新します。更新は自動的に開始され、ユーザーの操作は必要ありません。

9. インストールが完了した後、コンピューターを再起動して下さい。

管理者マニュアル

133. プログラムのインストール

3.2. プログラムのアンインストールと変更

Dr.Web をアンインストールした後は、コンピューターはウイルスやその他のマルウェアから保護されなくなります。

1. Dr.Web をアンインストール、またはそのコンポーネントを変更（追加・削除）するには、次の項目を選択してください（OSに応じて）：

Windows XP スタートメニューによって異なります）

スタートメニュー： スタート コントロールパネル プログラムの追加と削除

スタートメニュークラシック表示： スタート 設定 コントロールパネル プログラムの追加と削除

Windows Vista スタートメニューによって異なります）

スタートメニュー： スタート コントロールパネル コントロールパネルの表示によって次のいずれか

o クラシック表示： プログラムと機能

o ホーム： プログラム プログラムと機能

クラシックスタートメニュー： スタート 設定 コントロールパネル プログラムと機能

Windows 7 スタート コントロールパネル コントロールパネルの表示によって次のいずれか

大 / 小 アイコンビュー：プログラムと機能

カテゴリ： プログラム プログラムのアンインストール

Windows 8およびWindows 8.1 スクリーンの左下隅を右クリックしてコンテクストメニューの項目 コントロールパネル から、などの方法で コントロールパネル を開きます。コントロールパネルの 表示方法 設定の種類によって、次のいずれかの項目を選択します。

大 / 小 アイコンビュー：プログラムと機能

カテゴリ： プログラム プログラムのアンインストール

2. 開いたウィンドウ内で、プログラムを選択します。プログラムを完全に 削除 するには アンインストール をクリックし、手順6へ進んでください。特定のコンポーネントを追加または削除して Dr.Web に含まれるコンポーネントを変更するには 変更 をクリックしてください。インストールウィザードのウィンドウが開きます。

3. コンピューター上のアンチウイルス保護を復元するには プログラムの復元 をクリックします。

4. Dr.Web のコンポーネントを変更するには コンポーネントの変更 をクリックします。表示されたウィンドウ内で、追加したいコンポーネントのチェックボックスにチェックを入れ、削除したいコンポーネントのチェックを外してください。コンポーネントの選択が終了したら、インストール をクリックしてください。

Dr.Web のコンポーネントを削除する際には セルフプロテクションを無効にする ウィンドウが開きます。表示された確認コードを入力し、インストール をクリックしてください。

5. インストールされた全てのコンポーネントを削除するには プログラムの削除 を選択します。

6. パラメータ ウィンドウで、プログラムを削除した後もシステム上に残したいコンポーネント（削除したくないコンポーネント）のチェックボックスにチェックを入れます。保存されたオブジェクトと設定はプログラムを再度インストールする際に使用することができます。デフォルトでは、隔離 Dr.WebAnti-virus for Windows Servers 設定および 保護されたファイルのコピー の全てのオプションが選択されています。次へ をクリックします。

7. 次のウィンドウでは、Dr.Web の削除を確定するために表示された確認コードを入力し、プログラムの削除 をクリックしてください。

8. 変更を適用させるため、指示に従ってコンピューターを再起動させて下さい。

管理者マニュアル

144. ライセンス

4. ライセンス

Dr.Web の使用を継続するには、ライセンスを有効化してください。ライセンスは製品と一緒に購入するか、またはDoctor Web 公式サイト で購入することができます。ライセンスを取得することで、その有効期間中に、製品の全ての機能を使用することが可能になります。キーファイルのパラメータは、使用許諾契約に従って規定されます。

キーファイル

Dr.Web の使用権限はキーファイル内で規定されています。

キーファイルは .key 拡張子を持ち、以下の情報を含んでいます。

利用可能なアンチウイルスコンポーネントの一覧

製品のライセンス期限

テクニカルサポートの利用が可能であるかどうか

その他の制限（ウイルススキャンを同時に実行することが可能なリモートコンピューターの台数など）

キーファイルは次の条件が満たされている場合に有効です。

ライセンスの有効期限内であること

キーファイルの正常性が損なわれていないこと

上記いずれかの条件が満たされていない場合、キーファイルは 無効 となり、 Dr.Web はファイル、メモリ、メール内のマルウェア検出および駆除を停止します。

Dr.Web のインストール中にキーファイルを取得せず、パスが指定されなかった場合、一時 キーファイルが使用されます。一時キーファイルでは Dr.Web の全機能を使用することができます。ただし、ライセンスを有効化するか、ライセンスマネージャー 経由で有効なキーファイルへのパスを指定するまで、SpIDer Agent メニュー の My Dr.Web および 更新は使用することができません。

キーファイルはライセンス有効期限が切れるまで保管しておくことを推奨します。

4.1. 有効化の方法

お使いのライセンスを有効化するには、次のうちいずれか1つの方法を実行してください。

Doctor Web 公式サイト 上での登録中にキーファイルを取得

インストール中に、または ライセンスマネージャー のウィンドウ内で、お使いのコンピューター上にある有効なキーファイルへのパスを指定

ライセンスの再有効化

キーファイルを紛失してしまった場合、ライセンスを再有効化する必要があります。

ライセンスを再有効化した場合は、前回の登録時と同じキーファイルを受け取ります（有効期限が切れていない場合）。

製品を再インストール、または複数のコンピューター上にインストール（ライセンスで許可されている場合のみ）する場合に、前回の登録時に取得したライセンスキーファイルを使用することができます。シリアル番号の再有効化は必要ありません。

キーファイルの請求回数には上限があります。同じシリアルナンバーでの登録は25回までとなります。この回数を超えるとキーファイルは送信されません。その場合には、 テクニカルサポート までご連絡の上、詳しい状況を説明し、登録の際に入

管理者マニュアル

154. ライセンス

力した個人情報とシリアルナンバーをご提示ください。キーファイルはテクニカルサポートからEメールアドレス宛てに送信されます。

4.2. ライセンス更新

ライセンス有効期限の終了、または保護するシステムの変更などの理由により、ライセンスの更新が必要となる場合があります。その際、現在のキーファイルを変更する必要があります。製品の動作を停止したり再インストールしたりする必要がないよう、 Dr.Web はライセンスの「オンアクセス」更新をサポートしています。

ライセンスキーファイルの交換

1. ライセンスマネージャー を開きます。Doctor Web 公式サイト上のお客様個人ページを使用して、新しいライセンスの購入や、お持ちのライセンスを更新することができます。ページを開くには ライセンスマネージャ― または

SpIDer Agent メニュー 内の My Dr.Web の項目を選択してください。

2. 現在のキーファイルが無効の場合、 Dr.Web は自動的に新しいキーファイルの使用に切り替わります。

管理者マニュアル

165. 開始する

5. 開始する

Dr.Web がインストールされると、タスクバーの通知領域に SpIDer Agent のアイコン が追加されます。

SpIDer Agent が動作していない場合は、Windowsの スタート メニューの Dr.Web アプリケーショングループで、SpIDer Agent を選択してください。

SpIDer Agent アイコンは Dr.Web の状態を表しています。

– 必要なコンポーネントは全て動作中で、コンピューターは保護されています。

– Dr.Web セルフプロテクションまたは重要なコンポーネントが無効です（これにより Dr.Web およびコンピューターのセキュリティが低下します）。セルフプロテクションまたはコンポーネントを有効にしてください。

– 主要な Dr.Web コンポーネントの起動時にエラーが発生しました。コンピューターがウイルスに感染する危険性があります。有効なキーファイルをお持ちかであるどうか確認し、必要な場合はインストール してください。

設定 に応じて、SpIDer Agent  上に通知が表示される場合もあります。

SpIDer Agent メニューを開くにはWindows通知領域内で SpIDer Agent アイコン  をクリックします。

保護コンポーネントおよび設定へのアクセス、コンポーネントの無効化には管理者権限が必要です。

SpIDer Agent メニュー  によって Dr.Web の設定および管理を行うことができます。

My Dr.Web – Doctor Web 公式サイト上にあるユーザーのパーソナルページを開きます。このページでライセンスに関する情報（有効期限、シリアル番号など）の確認、ライセンスの更新、テクニカルサポートへの問い合わせなどを行うことができます。

ツール – サブメニューが表示され、以下の項目にアクセスすることができます。

データ損失防止

アンチウイルスネットワーク

隔離マネージャー

サポート

保護コンポーネント – 保護コンポーネントのリストにアクセスします。リストから各コンポーネントの有効化や無効化を行うことができます。

Updater – コンポーネントやウイルスデータベースの更新に関する情報を確認、更新を開始することができます。

Scanner – 様々な種類のスキャンを開始することができます。

動作モード – ユーザーモードと管理者モードの切り替えを行うことができます。デフォルトでは、Dr.Webは 設定 および 保護コンポーネント 設定へのアクセスが制限されるユーザーモードで起動します。モードを切り替えるにはロック（錠アイコン）をクリックしてください。OSに依り、ユーザーアカウント制御が有効になっている場合、管理者権限を要求するプロンプトが表示されます。設定 ウィンドウ内で Dr.Web の設定をパスワードで保護する オプションを有効にしている場合、モードを切り替える際にパスワードを入力する必要があります。管理者モードへの切り替えから15分後にユーザーモードに戻りますのでご注意ください。15分が経過した時点で未だ設定を行っていた場合は、設定ウィンドウを閉じた後にユーザーモードに戻ります。

統計 – スキャンされたオブジェクトや感染した又は疑わしいオブジェクトの数、実行されたアクションなど、現在のセッションにおけるコンポーネント動作に関する統計を表示します。

管理者マニュアル

175. 開始する

設定 – 全般設定、保護コンポーネント設定、除外設定にアクセスするためのウィンドウを開きます。

設定 ウィンドウ内で Dr.Web の設定をパスワードで保護する を有効にしている場合、コンポーネントの設定にアクセスする際およびパーソナルページ My Dr.Web を開く際にもパスワードの入力が必要になります。

製品設定のパスワードが分からなくなってしまった場合は テクニカルサポート 。

管理者マニュアル

185. 開始する

5.1. アンチウイルスの動作検査

EICAR European Institute for Computer Anti-Virus Research）テストファイルを使用して、ウイルスをシグネチャで検出するアンチウイルスプログラムの動作をチェックすることができます。

アンチウイルスソフトウェアベンダーの多くは、動作確認の為に標準的なtest.comプログラムを使用しています。このプログラムは、インストールされたアンチウイルスのウイルス検出に対する動作を、コンピューターを危険にさらすことなくテストするために特別に開発されたものです。test.comプログラム自体はウイルスではありませんが、多くのアンチウイルスプログラムによってウイルスとして処理されるようにできています。この「ウイルス」を検出すると Dr.Web は EICAR Test File

(Not a Virus!)という表示を出します。他のアンチウイルスツールも同様の方法でユーザーに警告します。

test.comプログラムは、68バイトのCOMファイルです。実行されると、コンソールにEICAR-STANDARD-ANTIVIRUS-

TEST-FILE!というメッセージを表示します。

test.comのファイルは、次の文字列のみを含んでいます。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

上記文字列でファイルを作成してtest.comのファイル名で保存すると、「ウイルス」と認識される、前述の無害なプログラムができあがります。

EICARファイルの実行はシステムに対する実際の脅威ではないため、SpIDer Guard の 最適化モード ではEICARファイルを悪意のあるソフトウェアとして検出しません。ただし、そのようなファイルをシステム内でコピーまたは作成した場合はSpIDer Guard に検出され、デフォルト設定では 隔離 フォルダに移されます。

管理者マニュアル

196. ツール

6. ツール

6.1. ライセンスマネージャー

このウィンドウには Dr.Web ライセンス に関する情報が表示されます。

ウィンドウを開くには、通知領域で SpIDer Agent アイコン  をクリックします。 ツール を選択し、 ライセンスマネージャ? を選んでください。ウィンドウ内上部に、お使いのライセンスに関する情報が表示されます。

をクリックすると、該当するキーファイルを削除することによって、選択されたライセンスを削除します。最後に使用されている有効なキーファイルは削除できません。

ライセンスの削除を行うことができるのは管理者モードのみです。ユーザーモードでは、このボタンは使用できません。

Dr.Web を動作させるには、システム上に Dr.Web キーファイルをインストールする必要があります。ディストリビューションキットに含まれていたキーファイルは、自動的にインストールされます。

デフォルトでは、キーファイルは Dr.Web のインストールフォルダに置かれます。 Dr.Web は定期的にキーファイルを検証します。ライセンスの有効性を保つため、ファイルの編集または変更を行わないようにしてください。

有効なキーファイルが見つからない場合、 Dr.Web コンポーネントはブロックされます。

通知領域の SpIDer Agent アイコン上に ライセンスマネージャー に関する通知を表示することが可能です。必要に応じて、デスクトップ及びメールの通知を 設定 することができます。

6.2. データ損失防止

ユーザーモードでは、データ損失防止の設定変更およびコピーからのファイルの復元を行うことはできません。管理者モードに切り替えてください。

データ損失防止　を有効にすることで、重要なファイルをマルウェアによる変更から保護することができます。このオプションでは、指定したフォルダ内にあるファイルのコピーを作成することが可能です。

保護するファイルおよびフォルダを選択 リンクをクリックし、保護されたコピーを作成するオブジェクトを指定します。オブジェクトのリストはいつでも変更することが可能です。また、コピーの保存先となるディスクやコピーを作成するの間隔を指定することもできます。指定した期間が過ぎると、Dr.Web は指定されたオブジェクトに変更が加わっていないかどうかをチェックし、オブジェクトが変更されていた場合は新しいコピーを作成します。ディスクの空き容量を増やす必要がある場合にコピーを削除することができ（コピーの削除は、オリジナルのファイルには影響しません）、バッテリーでの駆動中におけるコピーの作成を無効にすることもできます。

ファイルが破損してしまった場合に、特定の日付に作成したコピーを復元することができます。復元 をクリックし、開いたウィンドウ内で日付を選択してください。選択された日に作成された全てのコピーが、指定したフォルダに復元されます。

保護されたコピーを手動で作成するには、メインウィンドウ内で 作成 をクリックし、新しいコピーに対する設定を行ってください。

管理者マニュアル

206. ツール

保護されたコピーの保存先には5 GB以上の空き容量が必要です。

6.3. アンチウイルスネットワーク

このコンポーネントによって、ネットワーク内にある他のコンピューター上の Dr.Web Anti-virus for Windows Dr.Web Anti-virus for Windows Servers Dr.Web Security Space のバージョン10.0を管理することがで

きます。Dr.Web リモートコントロールにアクセスするには、タスクバー通知領域にある SpIDer Agent アイコン   をクリックし、ツール を選択した後に アンチウイルスネットワーク を選択してください。

リモートアンチウイルスにアクセスするには、リスト内でコンピューターを選択し　接続　をクリックします。リモートアンチウイル

スの設定内で　指定した　パスワードを入力してください。リモート SpIDer Agent のアイコン がWindows通知領域内に表示されます。リモートアンチウイルスのユーザーに対しては、リモート接続についての通知がポップアップで表示されます。

設定の管理、コンポーネントの有効化または無効化、統計の閲覧が可能です。

アンチウイルスネットワーク 隔離マネージャー Scanner は使用できません。Dr.Web Firewall の設定および統計も使用できませんが、Dr.Web Firewall を有効／無効にすることは可能です（Dr.Web Anti-virus 又はDr.Web Security Space にアクセスした場合）。リモート接続を切るには 接続を切る を選択してください。

目的のコンピューターがリスト上に無い場合は、手動で追加することができます。 ボタンをクリックしIPアドレスを入力してください。

　リモート Dr.Web製品 との間に確立できる接続は1つのみです。既に接続が1つ確立されている場合、接続 ボタンは無効になります。

コンピューター上にインストールされている Dr.Web 製品のリモート接続が許可されている場合、それらのコンピューターはアンチウイルスネットワーク のリスト内に表示されます。お使いの Dr.Web への接続は 一般設定 の アンチウイルスネットワーク ページ内で許可することができます。

6.4. 隔離マネージャー

隔離マネージャー では、マルウェアの疑いがあるファイルを隔離するための 隔離 コンポーネントに関する情報を確認することができます。隔離 には Dr.Web によって処理されたファイルのバックアップコピーも保存されます。

隔離マネージャー設定 では、リムーバブルメディア上で検出された感染オブジェクトを隔離するモードを選択することができます。このオプションが有効になっている場合、検出された脅威は暗号化されず、隔離フォルダはリムーバブルメディアが書き込み可能であった場合のみ作成されます。個別のフォルダの使用や、リムーバブルメディア上での暗号化の省略によって、データ損失の可能性を防ぎます。

ウィンドウを開くには通知領域内の SpIDer Agent アイコン  をクリックし、ツール を選択した後に 隔離マネージャー を選択します。

ウインドウ中央の表には、隔離されたオブジェクトに関する以下の情報が含まれています。

オブジェクト – 隔離されたオブジェクトの名称

脅威 – オブジェクトが隔離へ移された際に Dr.Web によって割り当てられたマルウェアの分類

移動日 – オブジェクトが 隔離 に移された日時

パス – 隔離に移される前にオブジェクトがあった場所へのフルパス

管理者マニュアル

216. ツール

隔離 には、お使いのユーザーアカウントでアクセス可能なオブジェクトのみが表示されます。隠しオブジェクトを見るには管理者権限が必要です。

隔離マネージャー ウィンドウでは次のボタンをクリックして必要なアクションを適用することができます。

復元 – ファイルを隔離から削除し、選択されたフォルダ内に指定された新しい名前で復元します。

このオプションは、選択したオブジェクトが無害であると分かっている場合にのみ使用してください。

削除  ファイルを隔離およびシステムから削除します。

管理者マニュアル

226. ツール

6.5. サポート

このセクションでは、製品のバージョン、コンポーネント、最終更新日時のほか、Dr.Web の使用中に発生した問題の解決に役立つリンクを確認することができます。

問題や質問等が発生した際には、以下のサポートオプションをご利用ください：

My Dr.Web – Doctor Web 公式サイト上にあるユーザーのパーソナルページを開きます。このページでライセンスに関する情報（有効期限、シリアル番号）の確認、ライセンスの更新、テクニカルサポート への問い合わせなどを行うことが出来ます。

ヘルプ – ヘルプを開きます。

Dr.Web フォーラム – Dr.Web フォーラム（http://forum.drweb.com/）を開きます。

テクニカルサポートに報告 – システム設定およびコンピューターに関する重要な情報を含んだ レポートを作成 するためのウィザードを起動します。

問題が解決しなかった場合、サポートサイト http://support.drweb.co.jp/ の該当するセクション内でwebフォームに必要事項を入力し、直接 Doctor Web テクニカルサポート までお問い合わせください。

企業情報については、公式 Doctor Web サイト http://company.drweb.co.jp/contacts/japan/ をご覧ください。

レポート

Doctor Web テクニカルサポートへの問い合わせの際に、お使いのOSや Dr.Web の動作に関するレポートを生成することができます。

完全なレポートの生成には、管理者権限が必要です。

レポートは%USERPROFILE%フォルダのDoctor Webサブフォルダ内にアーカイブとして保存されます。

レポートを生成するには該当するボタンをクリックしてください。レポートには以下の情報を含めることが出来ます。

1. OSに関する技術的情報

コンピューターに関する全般的情報

動作中のプロセス

スケジュールされたタスク

サービス、ドライバ

デフォルトブラウザ

インストールされたアプリケーション

ポリシー

HOSTSファイル

DNSサーバー

システムイベントログ

システムフォルダ一覧

レジストリブランチ

Winsock プロバイダ

ネットワーク接続

デバッガDr.Watsonのログ

パフォーマンスインデックス

管理者マニュアル

236. ツール

2. Dr.Web アンチウイルスソリューションに関する情報

3. 以下のプラグインに関する情報

Dr.Web for IBM Lotus Domino

Dr.Web for Kerio MailServer

Dr.Web for Kerio WinRoute

Dr.Web アンチウイルスソリューションに関する情報は、イベントビューア内の アプリケーションとサービスログ DoctorWeb にあります。

管理者マニュアル

247. 更新

7. 更新

Doctor Web のアンチウイルスソリューションは、コンピューター脅威の検出に Dr.Web ウイルスデータベースを使用します。それらのデータベースには、製品が発売された時点で既知である全てのウイルス脅威に関する詳細およびその署名が含まれています。しかし、現在のコンピューター脅威はその進化と亜種登場の速さが特徴であり、数日、また時には数時間の間に新しいウイルスや悪意のあるプログラムが出現します。そのため、Dr.Web ウイルスデータベースは定期的に更新される必要があります。更新によって Dr.Web は、新しいウイルスを検出し、その拡散を防ぐために必要な情報を受け取ります。また、更新前には修復不可能であった感染したファイルが修復される場合もあります。

更新では、実行ファイルやライブラリとしてアンチウイルスアルゴリズムの向上が導入されることもあり、また、Dr.Web アンチウイルスプログラムの実際の使用によって、発見されたバグの修正やヘルプおよびマニュアルの更新が行われます。

ウイルスデータベースおよびソフトウェアアルゴリズムを最新の状態に保つため、Doctor Web ではウイルスデータベースと製品コンポーネントの定期的な更新をインターネット経由で配信しています。ライセンス有効期間中は、Dr.WebUpdater を使用して更新のダウンロード・インストールを行うことができます。

更新手順

更新を開始する前に Dr.Web Updater は、インストールフォルダ内に登録された キーファイル が有るかどうかを確認します。キーファイルが見つからなかった場合や破損していた場合、またはキーファイル有効期限が切れていた場合、Dr.Web の更新はブロックされます。

キーファイルが見つかった場合は、Doctor Web のサイト上でその有効性を確認します（ファイルが不法に配布されたものであると発覚した場合など、信用性に問題があった場合そのファイルはブロックされることがあります）。不正使用が原因でキーファイルがブロックされた場合、Dr.Web Updater は該当する警告を表示し、更新を中断して Dr.Web コンポーネントをブロックします。

キーがブロックされた場合、Dr.Web を購入したディーラーまでお問い合わせください。

キーファイルが正常に確認された後、Dr.Web Updater はお使いの Dr.Web のバージョンに応じた全ての更新ファイルを自動的にダウンロード・インストールします。また、規約で許可されている場合はアップデートも行います（新しいバージョンがリリースされた際に）。

実行ファイルまたはライブラリの更新後、プログラムの再起動が必要な場合があります。その場合、該当する警告が表示されます。

Dr.Web Updater の使用にはインターネットへの接続が必要です。

更新の開始

更新は次のいずれかの方法で開始することができます。

コマンドラインから

SpIDer Agent メニューから

必要な全てのパラメーターは Dr.Web 一般設定 の 更新 ページで設定することができます。

SpIDer Agent アイコン  をクリックし、更新 を選択します。Dr.Web ウイルスデータベース　およびコンポーネントに関する情報や、それらの最終更新日を表示するウィンドウが開きます。

必要に応じ、更新 をクリックすることで更新を開始することができます。更新の必要がない場合はウィンドウを閉じてください。

管理者マニュアル

257. 更新

コマンドラインを使用して更新を実行することも可能です。Dr.Web インストールフォルダ（通常、%PROGRAMFILES%\Common Files\Doctor Web\Updater）を開き、drwupsrv.exeファイルを実行してください。コマンドラインパラメータの一覧は 付録 A を参照してください。

Dr.Web Updater を自動で起動した場合、更新は自動的にインストールされ、そのログは %allusersprofile%\Doctor Web\Logs\ フォルダ内にある dwupdater.log ファイルに記録されます。

通知領域内に Dr.Web Updater の通知を表示させることが可能です。必要に応じて、デスクトップ及びメールの通知を 設定 することができます。

管理者マニュアル

268. Dr.Web Scanner

8. Dr.Web Scanner

デフォルトでは、Dr.Web Scanner はウイルスデータベースおよびヒューリスティックアナライザー（ウイルス開発の一般的なアルゴリズムに基づき、プログラムにとって未知のウイルスを確率的に検出する手法）を使用して全てのファイルをスキャンします。特別なパッカーによってパックされた実行ファイルは、スキャン時に解凍されます。一般的に使用されているタイプのアーカイブ（ACE、ALZIP、AR、ARJ、BGA、7-ZIP、BZIP2、CAB、GZIP、DZ、HA、HKI、LHA、RAR、TAR、ZIPなど）内、コンテナ（1C、CHM、MSI、RTF、ISO、CPIO、DEB、RPMなど）内、メールプログラムのメールボックス内（メールのフォーマットは、RFC822に準拠している必要があります）のファイルもスキャンされます。

Dr.Web Scanner は悪意のあるオブジェクトを検出すると、ユーザーに対する通知のみを行います。全ての感染した、または疑わしいオブジェクトに関する情報は表に表示され、そこで必要なアクションを手動で選択することが可能です。検出された全ての脅威に対してデフォルトのアクションを適用するか、または特定のオブジェクトに対して必要なアクションを選択することができます。

デフォルトの設定は多くの場合に最適なものとなっていますが、必要に応じ Dr.Web Scanner の 設定ウィンドウ で、脅威を検出した際のアクションを変更することができます。検出された各脅威に対するカスタムのアクションはスキャンの完了後に設定することができますが、脅威の種類に応じた全般的なアクションはスキャン前に設定しておく必要があります。

また、Doctor Web Cloud Serviceに 接続 すると、Dr.Webアンチウイルスコンポーネントが脅威に関する最新の情報を使用することが可能になります。これらの情報はリアルタイムで Doctor Web サーバー上に保存され、更新されていきます。

8.1. システムのスキャン

Scannerの起動

Scanner は管理者権限を持つアカウントで起動することを推奨します。それ以外の場合、管理者権限を持たないユーザーがアクセスすることの出来ないファイル（システムフォルダを含む）に対するスキャンは実行されません。

1. Scanner を起動するには、以下のいずれかを実行してください。

デスクトップ上の Scanner アイコンをクリックする。

通知領域の SpIDer Agent アイコン  をクリックし、Scanner を選択する。

Windows スタート メニューの 全てのプログラム Dr.Web フォルダ内で Dr.Web Scanner をクリックする。

Windowsのコマンドライン内で該当するコマンドを実行する（コマンドラインモードでのスキャン 参照）。

デフォルトの設定で Scanner を起動して特定のファイルまたはフォルダをスキャンするには、該当するファイルやフォルダのコンテキストメニュー（デスクトップまたは Windowsエクスプローラウィンドウで）で Dr.Webによって検査を行う を選択します。

2. Scanner が起動すると、そのメインウィンドウが開きます。

Scanner によってファイルまたはフォルダをスキャンする場合、すぐにスキャンが開始されます。

3. スキャンには クイックスキャン フルスキャン カスタムスキャン の3つのモードがあります。

クイック スキャンモードでは Scanner は次のオブジェクトをスキャンします。

全ディスク上のブートセクター

RAM

起動ディスク上のルートディレクトリ

Windowsシステムフォルダ

管理者マニュアル

278. Dr.Web Scanner

ユーザーのドキュメントフォルダ（マイドキュメント）

一時ファイル

システム復元ポイント

ルートキット（スキャンが管理者権限で実行された場合）

クイックスキャンモードでは Scanner はアーカイブおよびメールファイルのスキャンを行いません。

フルスキャン モードでは、RAMおよび全てのハードドライブ（全てのディスクのブートセクターを含む）をスキャンします。また Scanner によるルートキットスキャンも実行されます。

カスタムスキャン モードでは、スキャンするファイルおよびフォルダを選択することができます。

4. カスタムスキャンを実行する場合、スキャンするオブジェクト（フォルダおよびファイル、RAM・ブートセクターなどのオブジェクト）をリストから選択することができます。選択したオブジェクトのスキャンを開始するには スキャン開始 をクリックします。フルスキャンおよびクイックスキャンでは、オブジェクトを手動で選択することはできません。

5. スキャンが開始されると、停止 及び 中止 ボタンが有効になります。

スキャンを一時停止したい場合は 停止 ボタンを押して下さい。中断されたスキャンを再開したい場合は 再開 ボタンを押します。

スキャンを中止したい場合は 中止 ボタンを押してください。

停止 ボタンは、プロセス及びRAMのスキャン中には使用できません。

管理者マニュアル

288. Dr.Web Scanner

8.2. ウイルス検出時のアクション

デフォルトでは、Dr.Web Scanner は既知のウイルスまたはその他のコンピューター脅威が検出された際に通知を行います。駆除 をクリックすると、検出された全ての脅威を同時に駆除することができます。この場合 Dr.Web Scannerは、その設定および脅威の種類に応じて最も効果的なアクションを適用します。

駆除 をクリックすると、表内で選択されているオブジェクトに対してアクションが適用されます。スキャンが完了すると、

Dr.Web はデフォルトで全てのオブジェクトを選択します。必要に応じ、オブジェクト名の隣にあるチェックボックス、またはテーブルヘッダー内ドロップダウンメニューの脅威のカテゴリを使用することで選択をカスタマイズすることが可能です。

アクションの選択

1. 必要に応じ、アクション　フィールド内のドロップダウンリストからカスタムアクションを選択してください。デフォルトでは、検出された脅威の種類ごとに推奨されるアクションが選択されます。

2. 駆除 をクリックします。選択された脅威に対してアクションが適用されます。

以下の制限があります。

疑わしいオブジェクトの修復はできません。

ファイル以外のオブジェクト（ブートセクターなど）の隔離、または削除はできません。

アーカイブ内、インストールパッケージ内、メール添付内のファイルに対してはいかなるアクションも行うことができません。

Dr.Web Scanner の動作に関する詳細なログが %USERPROFILE%\Doctor Web フォルダ内にあるdwscanner.log ファイルに保存されます。

項目 説明

オブジェクト このカラムには感染した、又は疑わしいオブジェクトの名前が表示されます（ファイルが感染している場合はファイル名、ブートセクターが感染している場合は ブートセクター、ハードドライブのMBRが感染している場合は マスターブートレコード が表示されます）。

脅威 このカラムには、Doctor Web の分類に応じた、ウイルスやその亜種の名前がリストアップされます（亜種とは、既知のウイルスのコードに変更が加わっているようなウイルスで、スキャナによって検出はされるものの、従来のウイルスに対する修復アルゴリズムを適用できないものを指します）。疑わしいオブジェクトに対しては、「感染の可能性がある」という示唆、及びヒューリスティックアナライザによる分類から推測されるウイルスの種類が表示されます。

アクション 検出された脅威に対するカスタムアクションを選択するには、このボタン上の矢印をクリックします（デフォルトでは Dr.Web Scanner によって最適なアクションが設定されています）。

このボタンをクリックすることで、表示されたアクションを各脅威に対して個別に適用することが出来ます。

パス 該当するファイルへのフルパス

メイン ページ で 脅威に対してアクションを自動的に適用 チェックボックスにチェックを入れた場合、脅威は Dr.WebScanner によって自動的に駆除されます。

8.3. Scannerの設定

Windows Server 2003以降のOSを使用している場合、Dr.Web Scanner を管理者権限を持つアカウントで実行することを推奨します。

デフォルト設定は、多くの場合に最適なものとなっています。特に必要がない限り変更しないようにして下さい。

Dr.Web Scannerの設定

管理者マニュアル

298. Dr.Web Scanner

1. Dr.Web Scanner が起動していない場合、SpIDer Agent アイコン  をクリックし Scanner を選択してください。Dr.Web Scanner ウィンドウが開きます。

2. ツールバー上にある 設定 アイコン をクリックします。複数のページ含んだウィンドウが開きます。

メイン ページ Dr.Web Scanner 動作の全般的なパラメータを設定します。

アクション ページ－感染した又は疑わしいファイル、アーカイブ、その他悪意のあるオブジェクト検出時にDr.Web Scanner が実行するアクションを設定します。

除外 ページ－スキャンの対象から除外するファイルおよびフォルダを指定します。

ログ ページ Dr.Web Scanner のロギングに関するオプションを設定します。

デフォルト設定に戻す ページ Dr.Web Scanner の設定をデフォルト値に復元します。

3. 必要に応じてオプションを設定してください。

4. 各ページで指定された設定に関する詳細を見るには ヘルプ ボタンをクリックします。

5. 編集終了後、変更を保存するには OK を、キャンセルするには キャンセル をクリックしてください。

メイン

このページでは Dr.Web Scanner 動作の全般的なパラメーターを設定することができます。

項目 説明

警告音を有効にする 全てのイベントに対する Dr.Web Scanner による警告音を有効にします。

脅威に対してアクションを自動的に適用

検出された脅威に対して Dr.Web Scanner が自動的にアクションを適用します。

スキャン終了後、コンピューターをシャットダウン

スキャン完了後にコンピューターをシャットダウンします。脅威に対してアクションを自動的に適用　にチェックが入っている場合、Dr.Web Scanner は検出された脅威に対して指定されているアクションを適用します。

バッテリモードに切り替えた際にスキャンを停止

コンピューターがバッテリーモードに切り替わるとスキャンを中断します。

必要に応じてコンピュータリソースを制限

Dr.Web Scanner によって使用されるコンピューターリソースの上限をパーセンテージで指定します。デフォルトでは50%に設定されています。

管理者マニュアル

308. Dr.Web Scanner

これらのパラメータは、Dr.Web Scanner メインウィンドウ内またはカスタムスキャン設定ウィンドウ内でも設定することが

出来ます。ツールバー上の アイコンをクリックしてください。

アクション

検出された脅威に対するアクションを設定する

1. 設定ウィンドウ内で アクション ページを選択します。

2. 感染 ドロップダウンリストで、感染したオブジェクトの検出時にプログラムが実行するアクションを選択してください。

3. 修復不可能なオブジェクトに対するアクションを 修復不可 ドロップダウンリストから選択してください。アクションの種類は感染したオブジェクトの場合と同様ですが、修復 アクションはありません。

4. 疑わしい ドロップダウンリストで、疑わしいオブジェクト検出時のアクションを選択して下さい（前項と同様です）。

5. 同様に、アドウェア、ダイアラー、ジョークプログラム、リスクウェア、ハッキングツールを含むオブジェクト検出時のアクションを指定してください。

6. ファイルアーカイブ、インストールパッケージ、メールボックス内でウイルスまたは疑わしいコードが検出された場合に、それらのオブジェクト全体に対して適用されるプログラムの自動アクションも同様に設定します。

7. 感染したファイルの修復を完了する為にWindowsの再起動が必要な場合があります。以下のいずれかを選択してください。

再起動を提案する

自動的に再起動する－ 保存されていないデータは失われる場合があります。

修復可能な脅威（既知のウイルスに感染したファイルなど）に対して最も適したアクションは、感染したファイルを完全に復元することの出来る"修復"になります。それ以外の脅威は、重要なデータの損失を防ぐために隔離へ移し、解析することを推奨します。以下のいずれかのアクションを選択することが出来ます。

アクション 説明

修復 オブジェクトを感染前の状態に復元しようとします。オブジェクトが修復不可能な場合や修復に失敗した場合は、修復不可能なウイルスに対して設定されたアクションが適用されます。

検出と同時に削除されるトロイの木馬プログラムを除く既知のウイルス、および 複合オブジェクトアーカイブ、メールボックス、ファイルコンテナなど 内のファイルに対して用いることができます。

ブートセクターに対して使用できるのはこのアクションのみです。

管理者マニュアル

318. Dr.Web Scanner

アクション 説明

隔離 オブジェクトを隔離フォルダへ移します。

このアクションはブートセクターには使用できません。このアクションが設定された悪意のあるオブジェクトがブートセクター内で検出された場合、それらに対していかなるアクションも実行されません。

削除 オブジェクトを削除します。

このアクションはブートセクターには使用できません。このアクションが設定された悪意のあるオブジェクトがブートセクター内で検出された場合、それらに対していかなるアクションも実行されません。

無視 通知を表示せず、いずれのアクションも実行せずにオブジェクトをスキップします。

アドウェア、ダイアラー、ジョークプログラム、ハッキングツール、リスクウェアなどの潜在的に危険なファイルに対してのみ用いることができます。

複合オブジェクト（アーカイブ、メール添付、ファイルコンテナ） 内の脅威は個別に処理することが出来ません。Dr.WebScanner は、複合オブジェクト全体に対して選択されたアクションを適用します。

除外

このページでは、スキャンの対象から除外するファイルおよびフォルダを指定することができます。

スキャンの対象から除外するファイルの名前、またはマスクの一覧を作成することができます。指定された名前、またはマスクに一致する名前を持つファイルは全てスキャンの対象から除外されます（このオプションは一時ファイル、スワップファイルなどに適しています）。

アーカイブ、メールファイル、インストールパッケージをスキャンの対象に加えることも出来ます。

ログ

このページでは、ロギングモードを設定することができます。

Dr.Web Scanner の動作に関するログは %USERPROFILE%\Doctor Web フォルダ内にある dwscanner.log ファイルに保存されます。ログファイルは定期的に解析することを推奨します。

管理者マニュアル

328. Dr.Web Scanner

デフォルトで設定されているパラメータの多くは変更せずにそのまま使用することを推奨します。ログの詳細レベル（デフォルトでは、感染した又は疑わしいオブジェクトに関する情報は常に記録されます。パックされたファイルおよびアーカイブのスキャンに関する情報、スキャンが正常に完了したその他のファイルに関する情報は記録されません。）は変更することができます。

ログの詳細レベルは次のいずれかを選択することができます。

標準  このモードでは更新時間、Dr.Web Scanner の起動・停止時間、検出された脅威に関する情報、スキャンされたアーカイブのパッカー名やコンテンツなどの主要なイベントのみが記録されます。必要に応じ、これらのオブジェクトを 除外 リストに追加することで、システムの負荷を減らすことができます。このロギングモードは多くの場合において最適となっています。

デバッグ  このモードでは Dr.Web Scanner の動作に関する詳細な情報を全て記録します。その結果、ログのサイズが大幅に増大する可能性があります。このモードはエラーが発生した場合、又は Doctor Web テクニカルサポートからの指示があった場合にのみ使用することを推奨します。

標準 モードでのログファイルサイズの上限は10 MBとなっています。デバッグ モードでのログファイルサイズには上限はありません。

スキャン後にログファイルの合計サイズが上限を超えていた場合、ファイルのコンテンツに対して以下の処置が行われます。

今行ったスキャンのログファイルサイズが上限を超えていない場合、ファイルはそのまま保持されます。

今行ったスキャンのログファイルサイズが上限を超えた場合、次のスキャンが行われるまで現状のサイズを保持します。

次のスキャンが行われると、ログファイルは指定されたサイズまで縮小されます。

デフォルト設定に戻す

このページでは、Scanner の設定を Doctor Web によって推奨されるデフォルト値に戻すことができます。デフォルト設定に戻す ボタンをクリックしてください。

管理者マニュアル

338. Dr.Web Scanner

8.4. コマンドラインモードでのスキャン

Scanner はコマンドラインモードで実行することができます。このモードでは追加のパラメータとして、現在のスキャンセッションの設定を行い、スキャンの対象となるオブジェクトのリストを作成することができます。 また、このモードでは スケジュール による Scanner の自動起動が可能です。

コマンドラインからスキャンを実行する

次のようにコマンドを入力してください。

[<path_to_program>]dwscanner [<switches>] [<objects>]

<objects> はスキャンするオブジェクトです。

<switches> は Scanner 動作を設定するコマンドラインパラメータです。指定されなかった場合、スキャンは前回指定された設定で（または、変更していない場合はデフォルト設定で）実行されます。

スキャンするオブジェクトは空のままか、または空白で区切って複数指定することができます。以下は、スキャンの対象となるオブジェクトを指定する際に最もよく使用される例です。

/FAST – システムの クイックスキャン を実行します。

/FULL – 全てのハードドライブおよびリムーバブルデータキャリア（ブートセクターを含む）のフルスキャンを実行しま

す。

/LITE – RAM、全てのディスクのブートセクターの基本的なスキャンを実行します。また、ルートキットスキャンを実

行します。

管理者マニュアル

348. Dr.Web Scanner

8.5. Console Scanner

Dr.Web には、コマンドラインからのスキャンや高度な設定を行うことが可能な Console Scanner も含まれています。

Console Scanner は疑わしいファイルを 隔離 には移しません（設定を行うことで、隔離に移すことが可能です）。

Console Scannerの起動

Console Scanner を起動するコマンドラインは次のようになります。

[<path_to_program>]dwscancl [<switches>] [<objects>]

<objects> はスキャンするオブジェクトです。

<switches> は Console Scanner 動作を設定するコマンドラインパラメータです。

スキャンするオブジェクトは空のままか、または空白で区切って複数指定することができます。各パラメータはスラッシュ (/)

記号で始まり、空白で区切られます。使用可能な Console Scanner パラメータの一覧は 付録 А を参照してください。

リターンコード:

0 – スキャンは正常に終了しました。感染したオブジェクトは見つかりませんでした。

1 – スキャンは正常に終了しました。感染したオブジェクトが検出されました。

10 – 無効なキーが指定されました。

11 – キーファイルが見つからないか、Console Scanner をサポートしていません。

12 – Scanning Engine（スキャニングエンジン）が起動しませんでした。

255 – スキャンはユーザーによって中断されました。

8.6. スキャンの自動実行

Dr.Web のインストール中に、タスクスケジューラ 内にアンチウイルススキャンタスクが自動的に作成されます（このタスクはデフォルトでは無効になっています）。

作成されたタスクのパラメータを確認するには、コントロールパネル 管理ツール タスクスケジューラ を開いてください。

タスクの一覧からアンチウイルススキャンに対するタスクを選択します。タスクの有効化、開始時間の調整、必要なパラメータの設定を行うことができます。

全般 ページで、特定のタスクに関する一般情報およびセキュリティオプションを確認することができます。トリガー と 条件タブでは、タスクを起動するための様々な条件を設定することができます。履歴 タブではイベントログを参照することができます。

また、ユーザー独自のアンチウイルススキャンタスクを作成することも可能です。詳細については、ヘルプやWindwosのドキュメントを参照してください。

管理者マニュアル

359. 設定

9. 設定

設定の管理を行うには管理者権限が必要です。

パスワード保護

コンピューター上の Dr.Web 設定へのアクセスを制限するには Dr.Webの設定をパスワードで保護する を有効にしてください。表示されたウィンドウで、Dr.Web を設定する際に必要となるパスワードを指定します。パスワードを確定した後 OK をクリックしてください。

設定のパスワードが分からなくなってしまった場合は テクニカルサポート までご連絡ください。

設定の管理

デフォルト設定にリセットするには、ドロップダウンリストで 設定をリセット を選択してください。

別のコンピューター上で設定されている Dr.Web アンチウイルスの設定を使用したい場合は、ドロップダウンリストで インポート を選択します。

ここで指定した設定を別のコンピューターでも使用したい場合は、ドロップダウンリストで エクスポート を選択します。別のコンピューター上の同じページで設定を適用させて下さい。

管理者マニュアル

3610. 一般設定

10. 一般設定

設定 ウィンドウ内で Dr.Web の設定をパスワードで保護する オプションを有効にしている場合、Dr.Web の一般設定にアクセスする際にパスワードを入力する必要があります。

Dr.Web 設定は管理者権限で実行されている場合のみ使用することができます。

Dr.Web の一般設定、およびその全てのコンポーネント（Scanner を除く）の設定を集中管理で行うことが出来ます。

10.1. 通知

このページでは、タスクバーの通知領域内にある SpIDer Agent アイコン  上に表示されるポップアップ、及びメール通知のタイプを設定することができます。

ポップアップ通知

タスクバーの通知領域内にある SpIDer Agent アイコン  上にポップアップ通知を表示させるには、該当するオプションをオプションを有効にしてください。

メール通知

メールでの通知を設定するには 通知をEメールで送信 オプションを有効にします。

1. 通知のパラメーター ウィンドウ内で、必要なメール通知の種類が選択されていることを確認してください。

2. 変更 をクリックすると、メールパラメータのウィンドウが開きます。

3. 以下のパラメータを指定してください。

オプション 説明

メールアドレス 通知の送信先アドレスを入力

SMTPサーバー Dr.Web がメール通知送信に使用する送信（SMTP）サーバーを入力

ポート Dr.Web がメールサーバーへの接続に使用するポートを入力

ログイン Dr.Web がメールサーバーへの接続に使用するログインを入力

パスワード メールサーバーへの接続時に使用するログインパスワードを入力

セキュリティ メールサーバーへの接続のセキュリティレベルを選択

認証 メールサーバーへの接続時に使用する認証方法を選択

4. 設定したパラメータを使用してテストメッセージを送信するには テスト をクリックします。数分以内にメッセージを受信しなかった場合は、接続設定を確認してください。

5. 変更を保存するには OK を、キャンセルするには キャンセル をクリックしてください。

通知のパラメーター

1. 通知のパラメーター をクリックしてください。使用可能な通知の一覧が表示されたウィンドウが開きます。

管理者マニュアル

3710. 一般設定

2. 受け取りたい通知のタイプのチェックボックスにチェックを入れてください。ポップアップ通知を表示させるには デスクトップ カラム内のチェックボックスを、メールでの通知を受け取るには メール カラム内のチェックボックスにチェックを入れます。

3. 必要に応じて、次の追加的パラメータを設定してください。

オプション 説明

通知をフルスクリーンモードで表示しない

コンピューター上でアプリケーションがフルスクリーンモードで動作している場合（ゲームや映画など）に通知を隠すには、このチェックボックスにチェックを入れてください。

モードに関係なく通知を表示させる場合は、このチェックボックスをクリアしてください。

4. メールでの通知を選択した場合は、コンピューターからメールを送信する 設定 を行ってください。

5. 変更を保存するには OK を、キャンセルするには キャンセル をクリックしてください。

オプション 説明

ウイルス通知 検出された脅威に関して通知します。通知を受け取らない場合は、このチェックボックスのチェックを外してください。

この通知はデフォルトで有効になっています。

主要な通知 以下の主要な内容を通知します：

システム日付の変更が試行された場合の通知

プロダクトの新しいバージョンのリリースについて

ウイルスデータベースが最新ではない旨の通知

上記の内容について通知を受け取らない場合は、このチェックボックスのチェックを外してください。

重要な通知 以下の重要な内容を通知します：

ライセンスの期限切れについて

保護されたコピーの作成失敗について

上記の内容について通知を受け取らない場合は、このチェックボックスのチェックを外してください。これらの通知はデフォルトで有効になっています。

軽微な通知 以下の重要度の低い内容を通知します：

ウイルスデータベースの更新について

更新の失敗について

セルフプロテクションに対する変更について

保護されたオブジェクトへのアクセス試行

上記の内容について通知を受け取らない場合は、このチェックボックスのチェックを外してください。これらの通知はデフォルトで無効になっています。

管理者マニュアル

3810. 一般設定

10.2. 更新

このページでは、Dr.Web 自体の保護を設定することができます。また、更新するコンポーネント、更新元、更新間隔、プロキシサーバー、ミラーからの更新などの Dr.Web 更新パラメータを設定することができます。

全般的な更新設定

更新頻度 – 更新がリリースされているかどうかを確認する頻度を選択します。脅威に関する情報を最新の状態に保つにはデフォルト値（30分）が最適となっています。

更新元 – 変更 ボタンをクリックして更新元を指定します。

Doctor Webのサーバー（推奨） – デフォルトでは、この更新元が選択されています。

ローカル、またはネットワークフォルダ – 更新は、それがコピーされたローカルまたはネットワークフォルダからダウンロードされます。フォルダへのパスを指定するには 参照 をクリックしてフォルダを選択するか、または手動でアドレスを入力してください。必要に応じ、ユーザー名とパスワードを入力してください。

アンチウイルスネットワーク – Dr.Web製品がインストールされているローカルネットワークコンピューター上に更新ミラーが作成されている場合に、そのローカルネットワークコンピューターから更新をダウンロードします。

追加設定

更新されるコンポーネント – 更新をダウンロードする方法を選択することができます。

全て（推奨） – Dr.Web ウイルスデータベース、アンチウイルスエンジン、及びその他の Dr.Web コンポーネントを更新します。

データベースのみ – Dr.Web ウイルスデータベース、アンチウイルスエンジンのみを更新します。その他のDr.Web コンポーネントは更新されません。

ミラーからの更新

Dr.Web 製品がインストールされている他のローカルネットワークコンピューターが、お使いのコンピューターを更新元として使用することを許可する場合は、ミラーからの更新 下の 変更 をクリックし、開いたウィンドウ内で 更新ミラーサイトを作成 を選択してください。次に、更新がコピーされるフォルダへのパスを指定します。お使いのコンピューターが複数のネットワークに接続されている場合、いずれか1つのネットワーク内にあるコンピューターが使用可能なIPアドレスを指定することができます。HTTP通信のポートを指定することも可能です。

10.3. ネットワーク

プロキシサーバー

デフォルトでは、コンポーネントは全て直接接続モードを使用します。必要に応じてプロキシサーバーの使用を有効にし、その接続設定を行うことが出来ます。変更 をクリックするとプロキシサーバーの設定ウィンドウが開きます。

パラメータ 説明

アドレス プロキシサーバーのアドレスを指定

ポート プロキシサーバーのポートを指定

ユーザー プロキシサーバーへの接続時に使用するユーザー名を指定

パスワード 指定したユーザー名でプロキシサーバーに接続する際に使用するパスワードを指定

認証の種類 プロキシサーバーへの接続に必要な認証の種類を選択

管理者マニュアル

3910. 一般設定

管理者マニュアル

4010. 一般設定

10.4. セルフプロテクション

このページでは、アンチ・アンチウイルスプログラムによる不正な改変や誤った破損などから Dr.Web 自体を保護するための設定を行うことができます。

セルフプロテクションを有効にする オプションでは、Dr.Web ファイル、レジストリキー、プロセスを破損や削除から保護します。セルフプロテクションを無効にすることは推奨できません。

デフラグツールの動作中に何らかの問題が発生した場合には、一時的にセルフプロテクションを無効にしてください。

システムの復元ポイントにロールバックするには、セルフプロテクションを無効にしてください。

ユーザーエミュレーションの禁止 オプションでは、ユーザーと Dr.Web のインタラクションをエミュレートしたスクリプトやユーザーによって起動されたスクリプトの実行を含む、Dr.Web の動作に対する自動での変更を全て防ぎます。

システム日時に対する変更をブロック オプションでは、システムのタイムゾーンや日時に対する手動または自動での変更をブロックします。制限は全てのシステムユーザーに対して設定されます。システム時間の変更が試行された場合に通知を受けるようにするには、通知 パラメータで設定を行ってください。

コンピューター上の Dr.Web 設定へのアクセスを制限するには、設定 セクション内の Dr.Webの設定をパスワードで保護する オプションを有効にしてください。

管理者マニュアル

4110. 一般設定

10.5. Dr.Web Cloud

このページでは、Doctor Web Cloud Serviceに接続し、Dr.Web の品質向上プログラムに参加することが出来ます。

クラウドサービス

Dr.Web Cloud Checker は、Doctor Web サーバー上でリアルタイムに更新される最新の脅威情報を使用した、アンチウイルス保護を提供します。

更新設定 によっては、アンチウイルスコンポーネントの使用する情報は最新のものではなくなっている場合があります。Cloud Serviceは、感染したファイルからお使いのシステムを保護します。

ソフトウェア品質向上プログラム

ソフトウェア品質向上プログラムにご参加いただける場合、お使いのコンピューター上の Dr.Web の動作に関するデータ（個人を特定しないもの）が定期的にDr.Webのサーバーへ送信されます。受け取った情報は、ユーザーを特定したり連絡を取ったりする目的で使用されることはありません。

Doctor Web 公式サイト 上のプライバシーポリシーをご覧になる場合は Doctor Webプライバシーポリシー リンクをクリックしてください。

管理者マニュアル

4210. 一般設定

10.6. アンチウイルスネットワーク

このページでは、アンチウイルスネットワーク によって、お使いのアンチウイルスを他のローカルネットワークコンピューターからリモート管理することが出来ます。お使いのコンピューターがアンチウイルスネットワークに接続されている場合、ローカル 更新ミラー を作成し、アンチウイルス保護の状態やお使いのコンピューターをリモートで管理することが出来ます（統計を見る、Dr.Web コンポーネントを有効／無効にする、コンポーネントの設定を調整する）。

Dr.Web 設定への不正なアクセスを防ぐため、リモートコントロールのパスワードを設定してください。

10.7. デバイス

アクセス制御ルールは全てのWindowsアカウントに対して適用されます。

デバイス

ポータブルストレージデバイス（USBフラッシュ、フロッピー、CD/DVD、ZIPドライブなど）上のデータに対するアクセスをブロックするには、該当するチェックボックスにチェックを入れます。プリンタへのジョブの送信をブロックするには、プリンタへのジョブの送信をブロック チェックボックスにチェックを入れてください。デフォルトではチェックは入っていません。また、ネットワーク経由でのデータのやり取り（LANおよびインターネット）をブロックすることも可能です。

デバイスとバスクラス

特定のデバイスまたはバスクラスに対するアクセスをブロックするには、該当するオプションを有効にしてください。ブロックするオブジェクトのリストを作成するには 変更 ボタンをクリックします。アクセスを許可するデバイスはホワイトリストに追加してください。そのデバイスがコンピューターに接続されていることを確認し、追加 ボタンをクリックします。フィールド下部に表示されるデバイスについての情報を必要に応じて確認した後、目的のオブジェクトを選択してください。情報はデバイスをホワイトリストに追加した後でも確認することができます。

管理者マニュアル

4310. 一般設定

10.8. アドバンス

このページでは、追加の設定を行うことができます。

ドロップダウンリストから、Dr.Web のグラフィカルインターフェースに使用する言語を選択することができます。新しくサポートするようになった言語はリスト上にも自動で追加され、リストにはその時点で使用可能な全ての言語が表示されます。

ログ設定

ログの設定を行うには、該当する 変更 をクリックします。

デフォルトでは、標準モードでのロギングが有効になっています。記録される情報は以下のとおりです。

コンポーネント 情報

SpIDer Guard 更新時刻および SpIDer Guard の起動・停止時刻、ウイルスイベント、スキャンされたファイル名、パッカー名、スキャンされた複合オブジェクト（アーカイブ、メール添付ファイル、ファイルコンテナ）のコンテンツ

SpIDer Guard によって最も頻繁にスキャンされているオブジェクトを確認したい場合に、このモードの使用を推奨します。必要に応じて、そのようなオブジェクトをスキャン対象外リストに追加することでコンピューターパフォーマンスを向上させることが出来ます。

Dr.Web Updater 更新された Dr.Web ファイルのリスト及びそのダウンロード状況、補助スクリプト実行に関する詳細、更新日時、更新後に再起動した Dr.Web コンポーネントに関する詳細

Dr.Web Services Dr.Web コンポーネント、Dr.Web コンポーネント設定の変更、コンポーネントの開始・停止、予防的保護イベント、アンチウイルスネットワークへの接続に関する情報

メモリダンプの作成

スキャンエラーが発生したときにメモリダンプを作成する オプションは、Dr.Web コンポーネントのエラーの原因に関する有用な情報を最大限まで保存します。発生した問題に対する Doctor Web テクニカルサポートのスペシャリストによる詳細な分析および解決に役立つため、動作エラーの発生時にはこのオプションを有効にすることを推奨します。メモリダンプは%PROGRAMFILES%\Common Files\Doctor Web\Scanning Engine\フォルダ内の.dmpファイルに保存されます。

詳細なログを有効にする

Dr.Web の動作に関する詳細なデータのロギングは、ログの著しい増加やプロセス負荷の増大を引き起こす場合があります。このモードはエラーの発生時または Doctor Web テクニカルサポート からの指示があった場合のみ使用することを推奨します。

1. Dr.Web コンポーネントの詳細なログを有効にするには、該当するチェックボックスにチェックを入れてください。

2. デフォルトでは、詳細なロギングモードはOSの最初の再起動前に使用されます。再起動の前と後でコンポーネントの動作をロギングする必要がある場合、再起動後も詳細なログの収集を続ける （非推奨） チェックボックスにチェックを入れてください。

3. 変更を保存します。

デフォルトでは、ログファイルサイズの上限は10 MBに設定されています。

管理者マニュアル

4410. 一般設定

隔離設定

隔離 の設定を行うには、該当する 変更 ボタンをクリックします。

Dr.Web 隔離 を設定、そのサイズを選択、また、指定した論理ドライブ上から隔離されたファイルを削除することが出来ます。

隔離 フォルダは、疑わしいファイルが検出された各論理ドライブ上に個別に作成されます。

隔離を空にする

1. 特定のドライブ上の隔離されたファイルを全て削除するには、リストからドライブを選択してください。

2. クリア をクリックし、指示に従って削除を確定してください。

ポータブルストレージデバイス上で検出された、感染したオブジェクトを隔離するモードを選択するには、アドバンス 設定を使用します。デフォルトでは、検出された脅威は暗号化されずに、このデバイス上の 隔離 フォルダへ移されます。ポータブルストレージデバイス上に 隔離 フォルダが作成されるのは、それらのデバイスが書き込み可能である場合のみです。別々のフォルダを使用し、ポータブルストレージデバイス上で暗号化を行わないことで、データ損失の可能性を防ぎます。

管理者マニュアル

4511. 除外

11. 除外

11.1. ファイルとフォルダ

このセクションでは、SpIDer Guard によるスキャンの対象から除外したいファイルやフォルダ（隔離フォルダ、プログラムファイルフォルダ、一時ファイル（スワップファイル）など）のリストを作成することができます。

デフォルトではリストは空になっています。特定のファイルまたはフォルダを追加するか、マスクを使用してファイルのグループをスキャン対象から除外することが出来ます。

除外リストの設定

1. 除外リストにファイルまたはフォルダを追加するには、次の内いずれか1つを実行してください。

既存のファイルまたはフォルダを追加するには をクリックします。開いたウィンドウ内で 参照 をクリックし、標準ダイアログウィンドウ内から該当するファイルやフォルダを選択してください。ファイルまたはフォルダへのフルパスを入力し、リストに追加することも可能です。

特定の名前を持ったファイルまたはフォルダを全てスキャンから除外するには、パスの代わりに名前を入力してください。

ファイルまたはフォルダのグループを除外する場合は、それらの名前を定義するマスクを入力してください。

2. OK をクリックすると、指定されたファイルまたはフォルダがリスト上に表示されます。

3. リストに加えたいファイルやフォルダが他にもある場合は、1～2を繰り返してください。ファイルまたはフォルダをリスト

から削除する場合は、該当するアイテムを選択して をクリックしてください。

例：

C:\folder または C:\folder\** – C:\folder フォルダ内の全てのファイルをスキャン対象から除

外します。サブフォルダ内のファイルに対してはスキャンを行います。

C:\folder\* – C:\folder フォルダと、そのサブフォルダ内の全てのファイルをスキャン対象から除外しま

す。

C:\folder\*.txt – C:\folder フォルダ内の全ての *.txt ファイルをスキャン対象から除外します。サ

ブフォルダ内の *.txt ファイルに対してはスキャンを行います。

C:\folder\*\*.txt – C:\folder フォルダの第一レベルサブフォルダ内の全ての *.txt ファイルをス

キャン対象から除外します。

C:\folder\**\*.txt – C:\folder フォルダ内の全ての階層のサブフォルダ内の全ての *.txt ファイ

ルをスキャン対象から除外します。C:\folder フォルダ直下にあるファイルに対しては、*.txt ファイルも含め、ス

キャンを行います。

11.2. プログラムとプロセス

SpIDer Guardによるスキャンの対象から除外するプログラムやプロセスのリストを作成することができます。

除外リストの作成

1.プログラムまたはプロセスを追加するには をクリックします。開いたウィンドウ内で 参照 をクリックし、標準ダイアログウィンドウ内から該当するプログラムやプロセスを選択してください。

2.設定ウィンドウ内で、それらをスキャンしないようにするコンポーネントを指定します。

3. OK をクリックすると、指定されたプログラムまたはプロセスがリスト上に表示されます。

4.追加したいプログラムやプロセスが他にもある場合は、操作を繰り返します。

5.プログラムまたはプロセスをリストから削除する場合は、該当するアイテムを選択して をクリックしてください。

管理者マニュアル

4612. 保護コンポーネント

12. 保護コンポーネント

12.1 SpIDer Guard

SpIDer Guard はメインメモリ内に常駐するアンチウイルススキャナーです。ファイルやメモリを「オンザフライ」でスキャンし、ウイルスと思われる活動を検出します。

デフォルト設定では、SpIDer Guard はハードディスク上で作成中または変更中のファイル、およびリムーバブルメディア上で開かれた全てのファイルに対してオンアクセススキャンを実行します。また、実行中のプロセス内にウイルスと思われる活動が無いかどうかを常にモニターし、検出した場合にはそれらのプロセスをブロックしてユーザーに報告します。感染したオブジェクトを検出すると、SpIDer Guard は指定された設定に応じてアクションを適用します。

アーカイブ内およびメールボックス内のファイルはスキャンされません。それらのファイルが感染している場合は、アーカイブの解凍時または添付ファイルのダウンロード時に SpIDer Guard によって悪意のあるオブジェクトが即座に検出され、駆除されます。

感染したオブジェクトを検出すると、SpIDer Guard は 指定された設定 に応じてアクションを適用します。該当する設定を変更することで、ウイルスイベントに対してプログラムが自動で適用するアクションを指定することが可能です。

また、Doctor Web Cloud Serviceに 接続 することで、Dr.Webアンチウイルスコンポーネントが脅威に関する最新の情報を使用することを可能にします。これらの情報はリアルタイムで Doctor Web サーバー上に保存され、更新されていきます。

Dr.Web と MS Exchange Server の間に互換性がない場合があります。問題が発生した場合は、SpIDerGuard の例外リストにMS Exchange Serverデータベースとトランザクションログを追加してください。

デフォルトでは、SpIDer Guard はWindows起動時に自動的に起動し、そのWindowsセッションの間はアンロードすることはできません。

12.1.1. SpIDer Guardの設定

設定 ウィンドウ内で Dr.Web の設定をパスワードで保護する オプションを有効にしている場合、SpIDer Guard の設定にアクセスする際にパスワードを入力する必要があります。

デフォルトの設定は多くの場合に最適なものとなっています。必要のない限り変更しないようにしてください。

ルートキットのバックグラウンドスキャン

Dr.Web に含まれている Anti-rootkit コンポーネントによって、複雑な脅威に対するOSのバックグラウンドスキャンを行い、検出されたアクティブな感染を必要に応じて修復することが出来ます。

このオプションが有効になっている場合、Dr.Web Anti-rootkit はメモリ内に常駐します。SpIDer Guard によるファイルのオンザフライスキャンとは異なり、ルートキットスキャンでは、オートランオブジェクト、実行中のプロセスとモジュール、RAM、MBR/VBRディスク、コンピューターBIOSシステム、及びその他のシステムオブジェクトもスキャンされます。

Dr.Web Anti-rootkit の主な特長として、システムリソースの消費（プロセッサ時間、RAMの空き容量など）及びハードウェアキャパシティに対する優れたパフォーマンスが挙げられます。

Dr.Web Anti-rootkit は脅威を検出するとユーザーに対して通知を行い、悪意のある活動を駆除します。

管理者マニュアル

4712. 保護コンポーネント

バックグラウンドルートキットスキャンの際には、SpIDer Guard の 除外するファイル ページ上で指定されたファイル及びフォルダはスキャンされません。

バックグラウンドスキャンを有効にするには、コンピュータのルートキットスキャンを行う（推奨） チェックボックスにチェックを入れてください。

バックグラウンドスキャンが有効になっている場合、SpIDer Guard を無効にしてもそのスキャンは実行されます。SpIDer Guard が有効であるか無効であるかは、バックグラウンドスキャンの実行に関係しません。

アクション

このページでは、感染したファイルや疑わしいファイル、マルウェアの検出に対する SpIDer Guard のアクションを設定することができます。

感染したオブジェクトのタイプごとに、それぞれのドロップダウンリストから個別にアクションを設定することができます。

感染オブジェクト―既知の修復可能（と思われる）なウイルスに感染したオブジェクト

修復不可能なオブジェクト? 修復不可能なウイルスに感染したオブジェクト

疑わしいオブジェクト? 感染していると思われる（疑わしい）オブジェクト

潜在的に危険なオブジェクト（リスクウェア）

様々な悪意のあるソフトウェアの検出に対するアクションも別々に設定することができます。選択可能なアクションはウイルスイベントの種類によって異なります。

デフォルトでは、SpIDer Guard は感染したオブジェクトおよび修復可能と思われるオブジェクトの修復を試み、それ以外の危険なオブジェクトを 隔離 に移し、ジョークプログラム・ハッキングツール・リスクウェアなど危険性の低い脅威を無視します。SpIDer Guard のアクションの種類は Dr.Web Scanner と同じです。

検出された脅威に対して、以下のアクションのうちいずれか1つを選択することができます。

アクション 説明

修復、修復不可能な場合は隔離

オブジェクトを感染前の状態に復元します。オブジェクトが修復不可能な場合や修復に失敗した場合は、隔離に移します。

このアクションは、トロイの木馬プログラムおよび 複合オブジェクト such as archives, mailboxes orfile containers 内の感染ファイルを除く、既知の修復可能なウイルスに感染したオブジェクトに対してのみ用いることができます。

修復、修復不可能な場合は削除

オブジェクトを感染前の状態に復元します。オブジェクトが修復不可能な場合や修復に失敗した場合は削除します。

このアクションは、トロイの木馬プログラムおよび 複合オブジェクト such as archives, mailboxes orfile containers 内の感染ファイルを除く、既知の修復可能なウイルスに感染したオブジェクトに対してのみ用いることができます。

削除 オブジェクトを削除します。

このアクションはブートセクターには使用できません。このアクションが設定された悪意のあるオブジェクトがブートセクター内で検出された場合、それらに対していかなるアクションも実行されません。

隔離 オブジェクトを 隔離 フォルダへ移します。

このアクションが設定された悪意のあるオブジェクトがブートセクター内で検出された場合は、それらに対していかなるアクションも実行されません。

無視 通知を表示せず、いずれのアクションも実行せずにオブジェクトをスキップします。

アドウェア、ダイアラー、ジョークプログラム、ハッキングツール、リスクウェアなどの潜在的に危険なファイルに対してのみ用いることができます。

管理者マニュアル

4812. 保護コンポーネント

SpIDer Guard は複合オブジェクトの検査を行いません。そのようなオブジェクトまたはそれに含まれるファイルに対してはいかなるアクションも実行されません。

処理された全てのオブジェクトのバックアップコピーが 隔離 内に保存されます。

スキャンモード

このグループでは、オブジェクトに対してどのようなアクションが行われた際に SpIDer Guard による「オンザフライ」スキャンを実行するかを設定することができます。

オプション 説明

最適（推奨） デフォルトではこのスキャンモードが使用されます。

このモードでは、SpIDer Guard は以下のいずれかのアクションが実行された場合にのみオブジェクトをスキャンします。

ハードドライブ上のオブジェクト―ファイルの実行、新しいファイルの作成、既存のファイルまたはブートセクター内への書き込みが試行された場合

リムーバブルデバイス上のオブジェクト―ファイルまたはブートセクターへのあらゆるアクセス（書き込み、読み込み、実行）が試行された場合

パラノイド このモードでは SpIDer Guard は、ハードドライブ、ネットワークドライブ、リムーバブルデバイス上にある、ファイルおよびブートセクターに対するあらゆるアクセス（作成、書き込み、読み込み、実行）が試行された場合に、それらをスキャンします。高頻度モードです。

EICAR テストファイル はシステムに対して実際に脅威を与えるものではないため、SpIDer Guard が 最適 モードで動作している場合、テストファイルを実行しても動作は中断されることなく、またテストファイルは悪意あるファイルとして判定されません。ただし、そのようなファイルのコピーまたは作成を行った場合は、SpIDer Guard によって検知され、デフォルトで 隔離 に移されます。

最適（推奨） モードは、Dr.Web Scanner によって全てのハードドライブが スキャン された後に使用することを推奨します。このモードがアクティブな場合、SpIDer Guard は新たなウイルスやその他悪意のあるオブジェクトがリムーバブルデバイスを介してコンピューターに侵入することを防ぐと同時に、クリーンであると分かっているオブジェクトは繰り返しスキャンせずにパフォーマンスの低下を防ぎます。

パラノイド モード（高頻度モード）では最も高いレベルの保護を得ることが出来ますが、コンピューターのパフォーマンスは著しく低下します。

いずれのモードでも、リムーバブルメディアおよびネットワークドライブ上のオブジェクトは、追加設定 内で該当するチェックボックスにチェックが入っている場合のみ SpIDer Guard によってスキャンされます。

OSによってハードドライブとして認識されるリムーバブルデバイスもあります（ポータブルUSBハードドライブなど）。そのようなデバイスはコンピューターとの接続時に Dr.Web Scanner でスキャンしてください。

デフォルトでは SpIDer Guard はアーカイブおよびメールボックス内のファイルはスキャンしません。コンピューターが常時SpIDer Guard によって保護されている限り、そのことによってセキュリティーが脅かされるようなことはありません。アーカイブやメールボックス内のファイルが感染した場合、悪意のあるオブジェクトはアーカイブの解凍時またはメール添付ファイルのダウンロード時に SpIDer Guard によって即座に検出され駆除されます。

管理者マニュアル

4912. 保護コンポーネント

追加設定

このグループではオブジェクトに対する「オンザフライ」スキャンの設定を行うことができます。これらの設定は、SpIDerGuard のスキャンモードに関係なく適用されます。

このグループでは、以下のオブジェクトをスキャンするよう SpIDer Guard を設定することができます。

そのロケーションに関係なく、起動されたプロセスの実行ファイル

インストールファイル

ネットワークドライブ上のファイル

リムーバブルデバイス上のファイルおよびブートセクター

デフォルトでは、SpIDer Guard はCD/DVDやフラッシュメモリーなどのデータストレージのオートランをブロックします。このオプションによって、リムーバブルメディアを介してウイルスがコンピューターに侵入するのを防ぎます。

オートラン（自動起動）オプションを使用したインストール中に問題が発生した場合は、リムーバブルメディアからのオートランをブロックする のチェックを一時的に外すことを推奨します。

12.2. 予防的保護

このページでは、お使いのコンピューターのセキュリティを脅かすような他のプログラムの動作に対する Dr.Web の対応を設定することが出来ます。また、重要なデータを望まない変更から保護することも可能です。

ブロックレベル

デフォルトの 最適 モードでは、OSに対して害を与える悪意のある意図を明白に示唆するような、システムオブジェクトに対する自動変更を無効にします。また、ディスクへの低レベルアクセス及びHOSTSファイの改変をブロックします。

コンピューターが感染する危険性が高い場合、中 モードを選択することで保護レベルを上げることが出来ます。このモードでは、悪意のあるソフトウェアに利用される可能性のある重要なオブジェクトへのアクセスもブロックされます。

このモードを使用すると、保護されているレジストリブランチを使用するサードパーティ製ソフトウェアとの互換性の問題が生じる場合があります。

重要なWindowsオブジェクトへのアクセスを全てコントロールしたい場合は パラノイド モードを選択してください。このモードでは、ドライバのロードやプログラムの自動実行に対するインタラクティブなコントロールも可能になります。

ユーザー指定 モードでは、様々なオブジェクトに対するカスタムの保護レベルを設定することができます。

保護するオブジェクト

説明

実行中のアプリケーションの整合性

動作中のアプリケーションにコードを挿入するプロセス（コンピューターセキュリティを脅かす可能性のあるプロセス）を検出します。SpIDer Guardの除外するプロセスリスト に追加されたプロセスはチェックされません。

ユーザーファイルの整合性

既知のアルゴリズムを使用してユーザーファイルを改変するプロセス（コンピューターセキュリティを脅かす可能性のあるプロセス）を検出します。SpIDer Guardの除外するプロセスリスト に追加されたプロセスはチェックされません。データを変更から保護するには、重要なデータを含んだファイルの 保護されたコピーの作成 を有効にしてください。

HOSTS ファイル OSはインターネットへの接続時にHOSTSファイルを使用します。このファイルに対する変更は、ウイルスに感染していることを示唆する場合があります。

管理者マニュアル

5012. 保護コンポーネント

ディスクへの低レベルアクセス

アプリケーションによるディスク上への、ファイルシステムを避けたセクタ単位の書き込みをブロックする。

ドライバーのロード アプリケーションによる、新しい又は未知のドライバのロードをブロックする。

重要なWindowsオブジェクト

以下のレジストリブランチに対する変更をブロックします （全てのユーザープロファイルおよびシステムプロファイル内）。

ファイル実行オプション File Execution Options

Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

ユーザーのドライバ：

Software\Microsoft\Windows NT\CurrentVersion\Drivers32

Software\Microsoft\Windows NT\CurrentVersion\Userinstallable.drivers

Winlogonの値：

Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost,System, Taskman, GinaDLL

Winlogonの通知：

Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Windowsシェルのオートラン：

Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs,LoadAppInit_DLLs, Load, Run, IconServiceLib

実行ファイルの関連付け：

Software\Classes\.exe, .pif, .com, .bat, .cmd, .scr, .lnk (keys)

Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile (keys)

ソフトウェア制限ポリシー（SRP:Software Restriction Policies

Software\Policies\Microsoft\Windows\Safer

Internet Explorerのプラグイン BHO

Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

プログラムのオートラン：

Software\Microsoft\Windows\CurrentVersion\Run

Software\Microsoft\Windows\CurrentVersion\RunOnce

Software\Microsoft\Windows\CurrentVersion\RunOnceEx

Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

Software\Microsoft\Windows\CurrentVersion\RunOnceEx\Setup

Software\Microsoft\Windows\CurrentVersion\RunServices

Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

ポリシーオートラン：

Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

セーフモードの構成：

SYSTEM\ControlSetXXX\Control\SafeBoot\Minimal

SYSTEM\ControlSetXXX\Control\SafeBoot\Network

セッションマネージャーのパラメータ：

System\ControlSetXXX\Control\Session Manager\SubSystems, Windows

システムサービス：

System\CurrentControlXXX\Services

重要なMicrosoftの更新のインストール、又はプログラム（デフラグツールを含む）のインストールや動作中に問題が発生した場合、このグループの該当するオプションを無効にしてください。

管理者マニュアル

5112. 保護コンポーネント

必要に応じ、予防的保護に関するデスクトップ上の通知またはメール通知を 設定 することが出来ます。

管理者マニュアル

52付録

付録

付録 A. コマンドラインパラメータ

追加のコマンドラインパラメータ（オプションパラメータ）は、実行ファイルを開くことで起動可能なプログラムのパラメータを設定するために使用されます。Dr.Web Scanner Console Scanner Dr.Web Update で使用可能です。設定ファイルには無いパラメータを設定することができ、また設定ファイルで指定されたパラメータよりも高いプライオリティを持ちます。

オプションパラメータは (/) 記号で始まり、他のコマンドラインパラメータ同様スペースによって分けられます。

パラメータの一覧はアルファベット順になっています。

ScannerとConsole Scannerのパラメータ

/AA – 検出された脅威に対して自動的にアクションを適用します。（Scanner のみ）

/AC – インストールパッケージをスキャンします。デフォルトで有効になっています。

/AFS – アーカイブ内でパスを区切る際にスラッシュ（/）を使用します。デフォルトで無効になっています。

/AR – アーカイブをスキャンします。デフォルトで有効になっています。

/ARC:<圧縮率>  アーカイブオブジェクトの最大圧縮率。アーカイブの圧縮率が上限を超えた場合、Scannerはアー

カイブの解凍もスキャンも行いません（無制限）。

/ARL:<レベル>  アーカイブの最大ネスティングレベル（デフォルト：無制限）。

/ARS:<サイズ>  最大アーカイブサイズ。アーカイブのサイズが上限を超えた場合、Scannerはアーカイブの解凍もス

キャンも行いません（デフォルト：無制限、単位：KB）。

/ART:<サイズ>  圧縮率チェックが最初に行なわれるアーカイブ内にあるファイルの最小サイズ（デフォルト：無制限、単

位：KB）。

/ARX:<サイズ>  スキャンの対象となるアーカイブ内オブジェクトの最大サイズ（デフォルト：無制限、単位：KB）。

/BI – ウイルスデータベースに関する情報を表示します。デフォルトで有効になっています。

/DR – フォルダを再帰的にスキャンします（サブフォルダをスキャンします）。デフォルトで有効になっています。

/E:<エンジン>  指定されたスレッド数でスキャンを実行します。

/FAST – システムの クイック スキャンを実行します。（Scanner のみ）

/FL:<パス>  指定したファイルに記載されているファイルをスキャンします。

/FM:<<マスク>  指定されたマスクに合致するファイルをスキャンします。デフォルトでは全てのファイルがスキャンされま

す。

/FR:<正規表現>  指定された正規表現に合致するファイルをスキャンします。デフォルトでは全てのファイルがスキャン

されます。

/FULL – 全てのハードドライブおよびリムーバブルメディア（ブートセクタを含む）のフルスキャンを実行します。

管理者マニュアル

53付録

Scanner のみ）

/FX:<マスク>  マスクに合致するファイルをスキャンの対象から除外します。（Console Scanner のみ）

/H 又は /? – 簡単なヘルプを表示します。（Console Scanner のみ）

/HA – 未知の脅威を検出するためのヒューリスティック解析を使用します。デフォルトで有効になっています。

/KEY:<キーファイル>  キーファイルの指定。Scanner実行ファイルのある Dr.Web インストールフォルダ以外の場所に

キーファイルが保存されている場合、このパラメータを指定する必要があります（デフォルトでは С:\Program Files\DrWeb\ フォルダの drweb32.key 又はその他適切なファイルが使用されます）。

/LITE – RAMおよび全てのディスクのブートセクタの基本的なスキャンを実行し、ルートキットスキャンも行います。

Scanner のみ）

/LN – シェルリンクを解決します。デフォルトで無効になっています。

/LS – LocalSystemアカウントの権限を使用してスキャンを行います。デフォルトで無効になっています。

/MA – メールファイルをスキャンします。デフォルトで有効になっています。

/MC:<上限>  修復の最大試行回数を設定します（デフォルト：無制限）。

/NB –修復された又は削除されたファイルのバックアップを行いません。デフォルトで無効になっています。

/NI[:X] – スキャン時におけるシステムリソースの使用とスキャンプロセスのプライオリティを制限します（デフォルト：無

制限、単位：%）。

/NOREBOOT – スキャン終了後にシステムの再起動またはシャットダウンを行いません。（Scanner のみ）

/NT – NTFSストリームをスキャンします。デフォルトで有効になっています。

/OK – スキャンされた全てのオブジェクトの一覧を表示し、感染していないファイルに OK を表示します。デフォルトで無

効になっています。

/P:<優先度>  現在のスキャンタスクのプライオリティ

0 – 最低

L – 低い

N – 通常、デフォルト設定

H – 高い

M – 最高

/PAL:<レベル>  アーカイブファイルの最大ネスティングレベル。この上限を超えた場合、Scannerはアーカイブの展開

およびスキャンを指定されたレベルまで行います。デフォルト値は1000です。

/QL – 全てのディスク上の隔離されたファイルを一覧にします。（Console Scanner のみ）

/QL:<論理ドライブ名>  指定されたドライブ上の隔離されたファイルを一覧にします。（Console Scanner のみ）

/QNA – ファイル名を二重引用符で囲みます。

/QR[:[d][:p]] – 保存されている期間が<p> （数字）日を超えた、<d>（論理ドライブ名、文字）ドライブ上の隔

離ファイルを削除します。<d>を指定しなかった場合、全てのドライブ上の該当するファイルを削除します。<p> を指定しなかった場合、その古さに関係なく全ての隔離ファイルを削除します（<p> を0と見なします）。（Console Scanner のみ）

/QUIT – 検出された脅威が駆除されたかどうかに関係なく、スキャンの完了後に Dr.Web Scanner を終了しま

す。（Scanner のみ）

管理者マニュアル

54付録

/RA:<ログファイル>  指定されたファイルにスキャンのログを追加します。デフォルトではロギングは無効になっています。

/REP – シンボリックリンク先をスキャンします。デフォルトで無効になっています。

/RP:<ログファイル>  指定されたファイルにスキャンのログを上書きします。デフォルトではロギングは無効になっていま

す。

/RPC:<秒>  Dr.Web Scanning Engine の接続タイムアウト。デフォルトでは30秒です。（Console Scanner の

み）

/RPCD – 動的RPC IDを使用します。（Console Scanner のみ）

/RPCE – 動的RPCエンドポイントを使用します。（Console Scanner のみ）

/RPCE:<ターゲットアドレス>  動的RPCエンドポイントを使用します。（Console Scanner のみ）

/RPCH:<ホスト名>  リモートコールに、指定したホスト名を使用します。（Console Scanner のみ）

/RPCP:<プロトコル>  指定したRPCプロトコルを使用します。使用可能なプロトコルは lpc、np、tcpです。（Console

Scanner のみ）

/SCC – 複合オブジェクトの内容を表示します。デフォルトで無効になっています。

/SCN – インストールパッケージ名を表示します。デフォルトで無効になっています。

/SLS – ログを画面に表示します。デフォルトで有効になっています。（Console Scanner のみ）

/SPN – パッカー名を表示します。デフォルトで無効になっています。

/SPS – スキャンの進捗を画面に表示します。デフォルトで有効になっています。（Console Scanner のみ）

/SST – オブジェクトのスキャン時間を表示します。デフォルトで無効になっています。

/TB – ハードドライブのマスターブートレコード（MBR）を含むブートセクタをスキャンします。

/TM – Windowsシステムコントロールエリアを含むメモリー内のプロセスをスキャンします。

/TR – システム復元ポイントをスキャンします。

/W:<秒>  最大スキャン時間（デフォルト：無制限、単位：秒）。

/WCL – drwebwcl互換出力（Console Scanner のみ）。

/X:S[:R] – スキャンの完了後にシステムに対して行うアクション（シャットダウン、再起動、一時停止、休止

ShutDown/Reboot/Suspend/Hibernate））を指定します。

管理者マニュアル

55付録

異なるオブジェクトに対するアクション（'C'  修復、'Q'  隔離、'D'  削除、 'I' – 無視、'R'  通知。'R' は ConsoleScanner のみで、デフォルトで全てのオブジェクトに対して設定されています）：

/AAD:<アクション> – アドウェアに対するアクション（DQIR可）

/AAR:<アクション> – 感染したアーカイブファイルに対するアクション（DQIR可）

/ACN:<アクション> – 感染したインストールパッケージに対するアクション（DQIR可）

/ADL:<アクション> – ダイアラーに対するアクション（DQIR可）

/AHT:<アクション> – ハッキングツールツールに対するアクション（DQIR可）

/AIC:<アクション> – 修復不可能ファイルに対するアクション（DQR可）

/AIN:<アクション> – 感染ファイルに対するアクション（CDQR可）

/AJK:<アクション> – ジョークプログラムに対するアクション（DQIR可）

/AML:<アクション> – 感染したメールファイルに対するアクション（QIR可）

/ARW:<アクション> – リスクウェアに対するアクション（DQIR可）

/ASU:<アクション> – 疑わしいファイルに対するアクション（DQIR可）

指定されたオプションを無効／有効にする修飾子を持つことのできるパラメータもあります。

例：

/AC- オプションは無効です。

/AC, /AC+ オプションは有効です。

これらの修飾子は、オプションがデフォルトで有効／無効になっている、または以前に設定ファイル内で設定されている場合に便利です。修飾子を使用することができるパラメータは次のとおりです。

/AC /AFS /AR /BI /DR /HA /LN /LS /MA /NB /NT /OK /QNA /REP /SCC /SCN /SLS /SPN /SPS /SST /TB /TM /TR /WCL

/FL パラメーターに "-" 修飾子を使用すると、指定したファイルに記載されているパスをスキャンした後そのファイルを削

除します。

/ARC /ARL /ARS /ART /ARX /NI[:X] /PAL /RPC /W パラメーター値に "0"

を指定すると、無制限になります。

Console Scanner でのコマンドラインパラメータ使用例：

[<ファイルへのパス>]dwscancl /AR- /AIN:C /AIC:Q C:\

C:ディスク上にある、アーカイブ内のものを除く全てのファイルをスキャンし、感染したファイルを修復し、修復不可能なものを隔離へ移します。同様の動作を Scanner に設定するには dwscancl の代わりに dwscanner を入力してくださ

い。

管理者マニュアル

56付録

Dr.Web Updater コマンドラインパラメータ

共通オプション

パラメータ 説明

-h [ --help ] プログラムの使用に関する簡単な説明を表示

-v [ --verbosity ] arg ログの詳細レベル。次のうち1つを設定: error（標準）、info（詳細なログ）、debug

-d [ --data-dir ] arg レポジトリと設定のあるフォルダ

--log-dir arg ログファイル保存フォルダ

--log-file arg(=dwupdater.log)

ログファイル名

-r [ --repo-dir ] arg レポジトリフォルダ（デフォルトでは <data_dir>/repo

-t [ --trace ] トレースを有効にする

-c [ --command ] arg(=update)

コマンドを実行：getversions、getcomponents、getrevisions、init、update、uninstall、exec downloadm keyupdate

-z [ --zone ] arg 設定ファイルで指定されたゾーンの代わりに使用するゾーンのリスト

init コマンドパラメータ

パラメータ 説明

-s [ --version ] arg バージョン

-p [ --product ] arg 製品名

-a [ --path ] arg 製品ディレクトリパス。このディレクトリは、製品に含まれる全てのコンポーネントのデフォルトでのディレクトリになります。Dr.Web Update は、このディレクトリ内でキーファイルを検索します。

-n [ --component ] arg コンポーネント名とインストールフォルダ： <名前>, <インストールパス>

-u [ --user ] arg プロキシサーバーのユーザー名

-k [ --password ] arg プロキシサーバーのパスワード

-g [ --proxy ] arg 更新用プロキシサーバー： <アドレス>:<ポート>　

-e [ --exclude ] arg インストールの際に除外されるコンポーネントの名前

アップデートコマンドパラメータ

パラメータ 説明

-p [ --product ] arg 製品名。指定した場合、その製品のみが更新されます。指定しなかった場合は、全ての製品が更新されます。コンポーネントが指定された場合、それらのコンポーネントのみが更新されます。

-n [ --component ] arg 指定されたバージョンへコンポーネントを更新： <コンポーネント名>, <バージョン>

-x [ --selfrestart ] arg(=yes)

Dr.Web Update の更新後に再起動。デフォルトでyesに設定されています。noに設定した場合、再起動を要求する通知が表示されます。

--geo-update 更新前にupdate.drweb.comからIPアドレスリストの取得を試みます。

--type arg (=normal) 以下の内いずれか1つ:

reset-all – 全てのコンポーネントを強制的に更新

reset-failed – 失敗したコンポーネントのリビジョンをリセット

normal-failed – 失敗したコンポーネントを含む全てのコンポーネントを現在のリビジョンから最新の、又は指定したリビジョンに更新

管理者マニュアル

57付録

パラメータ 説明

update-revision – 最新のリビジョンが存在する場合、全てのコンポーネントを現在のリビジョンから最新に更新

normal – 全てのコンポーネントを更新

-g [ --proxy ] arg 更新用プロキシサーバー： <アドレス>:<ポート>

-u [ --user ] arg プロキシサーバーのユーザー名

-k [ --password ] arg プロキシサーバーのパスワード

--param arg スクリプトに追加パラメータを渡します： <名前>: <値>

-l [ --progress-to-console ] ダウンロード及びスクリプト実行に関する情報をコンソールに表示

exec コマンドパラメータ

パラメータ 説明

-s [ --script ] arg 指定されたスクリプトを実行

-f [ --func ] arg 指定されたスクリプトfunctionを実行

-p [ --param ] arg スクリプトに追加パラメータを渡します： <名前>: <値>

-l [ --progress-to-console ] スクリプト実行に関する情報をコンソールに表示

getcomponents コマンドパラメータ

パラメータ 説明

-s [ --version ] arg バージョン

-p [ --product ] arg 含まれているコンポーネントのリストを確認したい製品を指定します。製品が指定されていない場合、そのバージョンの全てのコンポーネントをリストアップします。

getrevisions コマンドパラメータ

パラメータ 説明

-s [ --version ] arg バージョン

-n [ --component ] arg コンポーネント名

uninstall コマンドパラメータ

パラメータ 説明

-n [ --component ] arg アンインストールするコンポーネント名

-l [ --progress-to-console ] コマンド実行に関する情報をコンソールに表示

--param arg スクリプトに追加パラメータを渡します： <名前>: <値>

-e [ --add-to-exclude ] 削除するコンポーネント。このコンポーネントの更新は行われません。

管理者マニュアル

58付録

keyupdate コマンドパラメータ

パラメータ 説明

-m [ --md5 ] arg 以前のキーファイルのMD5ハッシュ値

-o [ --output ] arg 新しいキーを保存するファイル名

-b [ --backup ] 古いキーファイルが存在する場合は、そのバックアップコピーを作成

-g [ --proxy ] arg 更新用プロキシサーバー： <アドレス>:<ポート>

-u [ --user ] arg プロキシサーバーのユーザー名

-k [ --password ] arg プロキシサーバーのパスワード

-l [ --progress-to-console ] キーファイルのダウンロードに関する情報をコンソールに表示

download コマンドパラメータ

パラメータ 説明

--zones arg ゾーンの一覧を含んだファイル

--key-dir arg キーファイルが保存されているフォルダ

-l [ --progress-to-console ] コマンド実行に関する情報をコンソールに表示

-g [ --proxy ] arg 更新用プロキシサーバー： <アドレス>:<ポート>

-u [ --user ] arg プロキシサーバーのユーザー名

-k [ --password ] arg プロキシサーバーのパスワード

-s [ --version ] arg バージョン

-p [ --product ] arg ダウンロードする製品の名前

管理者マニュアル

59付録

リターンコード

以下の表はリターンコードの値と該当するイベントの説明です：

リターンコード値 イベント

0 ウイルスまたは疑わしいオブジェクトは検出されませんでした。

1 既知のウイルスが検出されました。

2 既知のウイルスの亜種が検出されました。

4 疑わしいオブジェクトが検出されました。

8 アーカイブ、コンテナ、メールボックス内で既知のウイルスが検出されました。

16 アーカイブ、コンテナ、メールボックス内で既知のウイルスの亜種が検出されました。

32 アーカイブ、コンテナ、メールボックス内で疑わしいオブジェクトが検出されました。

64 少なくとも1つの感染したオブジェクトが修復されました。

128 少なくとも1つの感染したオブジェクが削除／名前変更／隔離されました。

スキャン完了時にプログラムによって返されるリターンコードは、スキャン中に発生したイベントのコード値の合計になっています。合計値はそれぞれのイベントコードに分割することができます。

例えばリターンコード値が9の場合 9 = 1 + 8となり、既知のウイルスが検出され、それらの既知のウイルスがアーカイブ、コンテナ、メールボックス内でも検出されたことを表しています。また、修復などのアクションはいずれも実行されず、その他の「ウイルス」イベントは発生していないことを表しています。

管理者マニュアル

60付録

付録 B. コンピューター脅威と駆除手法

コンピューターテクノロジーやネットワークソリューションの発達に伴い、ユーザーに害をもたらす様々な悪意のあるプログラム（マルウェア）が益々広く拡散されるようになっています。その発達はコンピューターサイエンスの誕生と同時に始まり、それらに対抗するための保護テクノロジーもまた並行する形で進化してきました。しかしながら、そのようなプログラムの進化が予測できない性質のものであること、また適応される技術が常に改良され続けていることから、起こりうる全ての脅威に対する統一された分類は未だ存在しません。

マルウェアはインターネット、ローカルネットワーク、電子メール、リムーバブルメディアを介して拡散されます。それらの中にはユーザーの不注意や経験のなさを悪用するよう設計され、完全に自動モードで動作することができるものもあります。その他にはハッカーによって操作されるツールがあり、それらは最もセキュリティの高いシステムにさえ危害を与えることができます。

本章では、最も一般的かつ広く拡散されているマルウェアのタイプについて説明します。Doctor Web 製品はそれらのマルウェアに対する保護を提供します。

コンピューター脅威の分類

コンピューターウイルス

この種類の悪意のあるプログラムは、他のプログラム内にそのコードを挿入する（これを感染と呼びます）ことが出来るという特徴を持っています。多くの場合、感染したファイルはそれ自体がウイルスのキャリアとなり、また挿入されたコードは必ずしもオリジナルのものと一致するとは限りません。ほとんどのウイルスは、システム内のデータを破損させる、または破壊する目的を持っています。オペレーションシステムのファイル（通常、実行ファイルとダイナミックライブラリ）を感染させ、そのファイルが起動されると同時にアクティブになるウイルスはファイルウイルスと呼ばれます。

ディスクのブートレコード、ハードディスクドライブのパーティションまたはマスターブートレコードを感染させるウイルスはブートウイルスと呼ばれます。メモリをほとんど消費せず、システムがロールアウト、再起動、またはシャットダウンするまで、そのタスクを続行出来る状態を保ちます。

マクロウイルスはMicrosoft Office、およびマクロコマンド（通常、Visual Basicで記述されている）に対応しているその他のアプリケーションで使用されるドキュメントを感染させるウイルスです。マクロコマンドは、完全なプログラミング言語で書かれた埋め込み型のプログラム（マクロ）で、例えばMicrosoft Wordでは、ドキュメントを開く（または閉じる、保存するなど）と自動的にマクロが開始されます。

コンピューターが特定の状態（例えばある特定の日時など）に達するとアクティブ化し、ウイルス作成者によって指定された活動を実行する機能を持ったウイルスをメモリ常駐型ウイルスと呼びます。

多くのウイルスは検出に対抗する何らかの手段を持ち、その手法は常時改良され続けています。しかしそれと同時に、それらに対抗するための技術も進化しています。

例えば暗号化ウイルスは、ファイル、ブートセクター、メモリ内で検出されるのを防ぐため、感染の度に自身のコードを暗号化します。このウイルスのコピーは全て、ウイルス署名として使用可能な共通のコードフラグメント（復号化プロシージャ）のみを含んでいます。

ポリモーフィック型ウイルスも同様に自身のコードを暗号化しますが、各コピーごとに異なる特別な復号化プロシージャの生成も行います。つまり、この種類のウイルスはシグネチャバイトを持ちません。

管理者マニュアル

61付録

ステルスウイルスは、その活動を偽るような動作を実行することで、感染したオブジェクト内における自身の存在を隠します。この種類のウイルスは、感染させる前のオブジェクトの情報を「ダミー」として表示させ、改変したファイルが検出されないようにします。

また、ウイルスは記述された言語（多くの場合アセンブラ、高級プログラミング言語、スクリプト言語など）、または感染させるOSに応じて分類することも出来ます。

コンピューターワーム

ワームは、ウイルスやその他の悪意のあるプログラムよりも広く拡散されるようになってきています。ウイルス同様、自身を複製しそれらを拡散することが出来ますが、他のプログラムを感染させることはできません。ワームは、インターネットまたはローカルネットワークからコンピューターに侵入し（通常、電子メールの添付ファイル経由で）、ネットワーク内にある他のコンピューターに自身のコピーを配信します。ユーザーのアクションに応じて、または攻撃するコンピューターを自身で選択する自動モードで拡散を開始します。

ワームは1つのファイル（ワームのボディ）から成っているとは限りません。多くのワームが、メインメモリ（RAM）内にロードした後にワームのボディを実行ファイルとしてネットワーク経由でダウンロードする感染部分（シェルコード）を持っています。シェルコードがシステム内に存在するだけであれば、システムを再起動することで（RAMが削除されリセットされます）ワームを削除することが出来ますが、ワームのボディがコンピューターに侵入してしまった場合はアンチウイルスプログラムでなければ対処できません。

ワームはその拡散速度によって、例えペイロードを持っていない（直接的な被害を与えない）場合でも、ネットワーク全体の機能を損なう能力を持っています。

トロイの木馬

このタイプの悪意のあるプログラムは自身を複製せず、他のプログラムを感染させません。トロイの木馬は頻繁に使用されるプログラムに成り代わり、その機能を実行します（または動作を模倣します）。同時に、システム内で悪意のある動作（データを破損または削除、機密情報を送信など）を実行したり、犯罪者が許可無しにコンピューターにアクセス（例えば第三者のコンピューターに損害を与えるために）することを可能にします。

トロイの木馬の悪意のある特徴はウイルスのものと類似しており、また、それ自体がウイルスのコンポーネントとなることも可能です。ただしほとんどのトロイの木馬は、ユーザーまたはシステムタスクによって起動される別の実行ファイルとして拡散されます（ファイル交換サーバー、リムーバブルストレージ、メール添付ファイルなどを介して）。

ルートキット

自身の存在を隠す目的でOSのシステム機能を妨害するように設計された悪意のあるプログラムです。さらに、他のプログラムのタスク、レジストリキー、フォルダ、ファイルを隠ぺいすることもできます。ルートキットは独立したプログラムとしても、または他の悪意のあるプログラムに含まれるコンポーネントとしても拡散することが可能であり、基本的には、ハッカーがアクセス権限を得たシステム上にインストールするユーティリティのセットになります。

ルートキットはその動作モードによって2つのグループに分けられます。ユーザーモードで動作するユーザーモードルートキットUMR）と、カーネルモードで動作するカーネルモードルートキット（KMR）です。UMRはユーザーモードライブラリ機能を妨害し、一方、KMRはシステムのカーネルレベルで機能を妨害し、その検出を困難にします。

管理者マニュアル

62付録

ハッキングツール

ハッキングツールは、侵入者によるハッキングを可能にするプログラムです。最も一般的なものは、ファイアーウォール又はコンピューター保護システムのその他のコンポーネントにおける脆弱性を検出するポートスキャナです。それらのツールはハッカーだけではなく、管理者がネットワークのセキュリティを検査するためにも用いられます。ハッキングにも使用することの出来る一般的なソフトウェアや、ソーシャルエンジニアリングテクニックを使用する様々なプログラムもハッキングツールに分類されることがあります。

スパイウェア

このタイプの悪意のあるプログラムはシステムの監視を行い、収集した情報を第三者（プログラムの作成者またはその関係者）に送信します。そのような第三者と成り得るのはスパムや広告の配信者、詐欺者、マーケティングエージェント、犯罪組織、産業スパイなどです。

スパイウェアは他のソフトウェアと一緒に、または特定のHTMLページやポップアップ広告のウインドウを閲覧した際に、密かにシステム上にロードされ、ユーザーの許可なしに自身をインストールします。スパイウェアが存在することで多く見られるようになる現象には、ブラウザの不安定な動作やシステムパフォーマンスの低下があります。

アドウェア

アドウェアは通常、ユーザーの画面に強制的に広告を表示させるフリーウェアプログラム内に組み込まれたプログラムコードを指します。ただしそのようなコードは、他の悪意のあるプログラム経由で配信されてWebブラウザ上に広告を表示させる場合もあります。アドウェアプログラムの多くは、スパイウェアによって収集されたデータを用いて動作します。

ジョークプログラム

アドウェア同様、このタイプの悪意のあるプログラはシステムに対して直接的な被害を与えることはありません。ジョークプログラムは通常、実際には起こっていないエラーに関するメッセージを表示させ、データの損失につながるアクションの実行を要求します。その目的はユーザを脅えさせたり、不快感を与えたりすることにあります。

ダイアラー

広範囲に渡る電話番号をスキャンし、モデムとして応答するものを見つける為の特別なプログラムです。その後、攻撃者がその番号を使用することによって被害者に通話料の請求書が送られます。または被害者が気づかぬうちに、モデム経由で高額な電話サービスに接続されます。

上記全てのタイプのプログラムは、ユーザーのデータまたは機密情報を危険にさらすため、悪意があるものと見なされます。姿を隠さないプログラム、スパム配信ソフトウェアや様々なトラフィックアナライザーは、状況によっては脅威と化す可能性はありますが、通常は悪意のあるものと見なされません。

その他のプログラムの中には、リスクウェアに分類されるものがあります。これらは害をもたらすために作成されたわけではないものの、その機能によってシステムセキュリティに対する脅威となる可能性を持っています。リスクウェアプログラムはデータを破損または削除してしまう危険性があるのみならず、クラッカーや悪意のあるプログラムによってシステムに被害を与える為に使用されることがあります。そのようなプログラムの中には、様々なリモートチャットおよび管理ツール、FTPサーバなどがあります。

管理者マニュアル

63付録

以下は、ハッカーによる攻撃またはインターネット詐欺の一覧です。

ブルートフォースアタック – 特別なトロイの木馬によって実行されます。内蔵されたパスワード辞書を利用して、またはランダムな文字列を作成することで、ネットワークにアクセスするためのパスワード取得を繰り返し試す攻撃方法です。

DoS攻撃 （サービス拒否）または DDoS攻撃 （分散サービス拒否） – テロに近いネットワーク攻撃で、攻撃対象となるサーバーに対して膨大な数のサービスリクエストを送信します。受信するリクエストが一定の量（サーバーハードウェアの能力による）に達するとサーバーはそれらを処理できなくなりサービスを拒否するようになります。DDoS攻撃は、1つのIPアドレスからリクエストを送信するDoS攻撃とは異なり、大量のIPアドレスから同時に攻撃を行います。

メールボム – 単純なネットワーク攻撃で、コンピューターまたは企業のメールサーバーに大容量のメールを１通（または小容量のメールを数千通）送信し、システム障害を引き起こします。Dr.Webのメールサーバー向けアンチウイルス製品は、そのような攻撃に対抗するための特別な保護メカニズムを持っています。

スニッフィング – 「ネットワークの受動的な盗聴」とも呼ばれるネットワーク攻撃の一種です。パケットスニッファと呼ばれる悪意の無い特別なプログラムによって実行される、データおよびトラフィックフローの不正なモニタリングです。パケットスニッファは監視しているドメインのネットワークパケットを全て捉えます。

スプーフィング – 接続を詐称して第三者になりすますことにより、ネットワークへのアクセスを取得するネットワーク攻撃の一種です。

フィッシング – アクセスパスワード、銀行やIDカードの情報といった個人データや機密データを盗むためのインターネット詐欺手法です。犯罪者はスパムメールやメールワームを使って、正規の組織からと思われる偽のメッセージを被害者に送信します。被害者はこのメッセージによって、犯罪者の作成した偽サイトを訪れ、パスワードやPINコード、その他の個人情報を入力するよう促されます。これらのデータは犯罪者が被害者のアカウントからお金を盗むために、またはその他の犯罪に利用されます。

ヴィッシング – フィッシングの一種ですが、電子メールの代わりにウォーダイアラーやVoIPが使用されます。

脅威に対するアクション

コンピューター脅威を駆除する方法には様々なものがあります。Doctor Web 製品はコンピューターとネットワークに対する最も信頼できる保護を実現するためにそれらの手法を組み合わせ、柔軟でユーザフレンドリーな設定と、確かなセキュリティのための総括的なアプローチを使用しています。悪意のあるプログラムを駆除するための主なアクションは以下のとおりです。

1.修復 – ウイルス、ワーム、トロイの木馬に対して適用されるアクションです。感染したオブジェクトから悪意のあるコードを削除、悪意のあるプログラムのコピーを削除、そして可能であればオブジェクトを復元（オブジェクトの構造および動作を感染前の状態に戻す）します。悪意のあるプログラムの全てが修復可能なわけではありませんが、Doctor Web 製品は、他のアンチウイルスソフトに比べ、より効果的な修復およびファイル復元のアルゴリズムを使用しています。

2.隔離 – 悪意のあるオブジェクトを特別なフォルダに移し、残りのシステムから隔離します。このアクションは修復が不可能な場合、また全ての疑わしいオブジェクトに適しています。そのようなファイルのコピーは解析の為 DoctorWeb のウイルスラボに送信することを推奨します。

3.削除 – コンピューター脅威を駆除する最も効果的なアクションで、あらゆる種類の悪意のあるオブジェクトに対して適用可能です。オブジェクトが悪意のあるコードのみで構成され有益な情報を持っていない場合（例えばコンピューターワームの修復は、そのコピーを全て削除することを意味します）、修復アクションが選択されているオブジェクトに対してこのアクションが適用されることがあります。

4.ブロック、名前の変更 – これらのアクションもまた、悪意のあるプログラムを駆除するために使用されます。ただし、そのようなプログラムの動作可能なコピーはファイルシステム内に残ることになります。ブロックアクションでは、それらのファイルからの又はファイルへのアクセスを全てブロックします。名前の変更アクションでは、ファイルが動作できないようその拡張子を変更します。

管理者マニュアル

64付録

付録 C. ウイルスの名称

Dr.Web ウイルスラボ のスペシャリストによって、集められたコンピューター脅威のサンプル全てに名前が付けられます。これらの名称はある特定の原則に基づいており、脅威の構造・攻撃の対象となるオブジェクトの種類・拡散環境（OS、アプリケーション）およびその他の特徴を反映しています。そのような原則を知ることは、保護するシステム上のソフトウェアや脆弱性を理解する上で有益であると考えられます。この分類方法は、同時に複数の特徴を有するウイルスもあることから形式的になる場合があり、また全てを網羅したものではありません。新しい種類のウイルスが次々と出現し続け、その分類は正確さを増していくためです。ウイルスの分類に関する最新の情報は Dr.Web公式サイト を参照してください。

ウイルスの完全な名称はピリオドで区切られた複数の要素から成り、プレフィックスおよびサフィックスの使用が一般的です。Dr.Web が使用するプレフィックスとサフィックスのグループ別リストを以下に掲載します。

プレフィックス

攻撃の対象となるOS

以下のプレフィックスは、特定のOSの実行ファイルを感染させるウイルスの名称に使用されます。

Win – 16ビットのWindows 3.1プログラム

Win95 – 32ビットのWindows 95/98/Me プログラム

WinNT – 32ビットのWindows NT/2000/XP/Vista プログラム

Win32 – 32ビットのWindows 95/98/Me および NT/2000/XP/Vista プログラム

Win32.NET – Microsoft .NET Frameworkプログラム

OS2 – OS/2 プログラム

Unix – 様々なUNIX系システムのプログラム

Linux – Linux のプログラム

FreeBSD – FreeBSD のプログラム

SunOS – SunOS Solaris のプログラム

Symbian – Symbian OS （モバイル OS のプログラム

意図された感染対象ではないシステムのプログラムであっても感染させることの出来るウイルスもありますので注意してください。

マクロウイルス

以下のプレフィックスは、MS Officeのオブジェクトを感染させるウイルスの名称に使用されます（そのようなウイルスに感染した、マクロの言語が指定されます）。

WM – Word Basic MS Word 6.0 7.0

XM – VBA3 MS Excel 5.0 7.0

W97M – VBA5 MS Word 8.0 VBA6 MS Word 9.0

X97M – VBA5 MS Excel 8.0 VBA6 MS Excel 9.0

A97M – MS Access'97/2000 のデータベース

PP97M – MS PowerPoint のプレゼンテーションファイル

O97M – VBA5 MS Office'97 VBA6 MS Office 2000 （このウイルスはMS Officeの複数のコンポーネント

のファイルに感染します）

管理者マニュアル

65付録

開発言語

C、C++、Pascal、Basicなどの高級プログラミング言語で記述されたウイルスの名称には HLL グループが使用されます。

HLLW – ワーム

HLLM – メールワーム

HLLO – 感染対象プログラムのコードを上書きするウイルス

HLLP – 寄生ウイルス

HLLC – コンパニオンウイルス

以下のプレフィックスも開発言語に関するものです。

Java – Java仮想マシンに対するウイルス

トロイの木馬

Trojan – 様々なトロイの木馬に対する総称。多くの場合、このグループのプレフィックスは Trojan プレフィックスと一緒

に使用されます。

PWS – パスワードを盗むトロイの木馬

Backdoor – RAT機能を持つトロイの木馬（Remote Administration Tool – リモート管理ユーティリティー）

IRC – Internet Relay Chat チャンネルを使用するトロイの木馬

DownLoader – 様々な悪意のあるプログラムをインターネット経由で密かにダウンロードするトロイの木馬

MulDrop – そのボディに含まれる様々なウイルスを密かにダウンロードするトロイの木馬

Proxy – 感染したコンピューターを通じてインターネット上で第三者が匿名で作業することを可能にするトロイの

木馬

StartPage Seeker – ブラウザのホームページアドレス（スタートページ）を許可なくすり替えるトロイの木

馬

Click – ユーザーのブラウザを特定のサイト（または複数のサイト）にリダイレクトするトロイの木馬

KeyLogger – キーボード入力を記録し、収集された情報を犯罪者に送信するスパイウェアトロイの木馬

AVKill – アンチウイルスプログラムやファイアーウォールなどを停止、または削除します

KillFiles KillDisk DiskEraser – 特定のファイル（ドライブ上の全てのファイル、特定のフォルダ

内にあるファイルなど）を削除します

DelWin – Windows OS の動作に必要なファイルを削除します

FormatC – C ドライブをフォーマットします

FormatAll – 全てのドライブをフォーマットします

KillMBR – マスターブートレコード（MBR）を破壊または削除します

KillCMOS – CMOS メモリを破壊または削除します

脆弱性を悪用するツール

Exploit – OSやアプリケーションの既知の脆弱性を悪用し、システム内にマルウェアを侵入させたり許可されて

いないアクションを実行したりするためのツールです。

ネットワーク攻撃ツール

Nuke – OSの既知の脆弱性を悪用してシステムを異常終了させるためのツール

DDoS – DDoS攻撃 Distributed Denial Of Service）を実行するためのエージェントプログラム

FDoS Flooder – DDoS攻撃の手法を利用してインターネット上で悪意のある動作を実行するためのプログ

ラム。1つのシステムに対して複数のエージェントから同時に攻撃を行うDDoSと異なり、FDoSプログラム（Flooder

管理者マニュアル

66付録

Denial of Service）は1つの独立したプログラムとして動作します。

スクリプトウイルス

以下のプレフィックスは、異なるスクリプト言語で記述されたウイルスに使用されます。

VBS – Visual Basic Script

JS – Java Script

Wscript – Visual Basic Script 及び／又は Java Script

Perl – Perl

PHP – PHP

BAT – MS-DOS コマンドインタプリタ

悪意のあるプログラム

Adware – 広告プログラム

Dialer – ダイアラープログラム（登録された有料の番号、または有料のリソースにモデムをリダイレクトする）

Joke – ジョークプログラム

Program – 潜在的に危険なプログラム（リスクウェア

Tool – ハッキングに使用されるプログラム（ハッキングツール

その他

Generic – 環境や開発方法を示す他のプレフィックスの後に付けられるプレフィックスで、この種類のウイルスと

して典型的なものであることを示します。特徴的な機能（文字列や特殊な動作など）を持たないウイルスに名前を付ける際に使用されます。

Silly – 特徴を持たない単純なウイルスに対し、異なる修飾子と共に過去において使用されていました。

サフィックス

サフィックスは、いくつか特定のウイルスの名称に使用されます。

generator – ウイルスではなく、ウイルスを作成するジェネレータ

based – ウイルスジェネレータによって作成された、または変更が加えられたウイルス。いずれの場合においても、

この種類の名称は全般的なものであり、数百、時には数千のウイルスを定義します。

dropper – ウイルスではなく、ウイルスのインストーラー

© Doctor Web, 2015