DefWatch 機能による検知について

book

Article ID: 223911

calendar_today

Updated On:

Products

Protection Suite Enterprise Edition

Issue/Introduction

以下のような DefWatch 機能による過検知と見受けられるアラートが多発しています。抑止する方法があれば教えてください。

■ウィルス名:
(1) ISB.Downloader!gen411
(2) ISB.Downloader!gen438

■感染ファイル名:
(1) C:\ProgramData\Symantec\DefWatch.DWH\DWH8AC3.doc
(2) C:\ProgramData\Symantec\DefWatch.DWH\DWH8AC3.doc

Environment

Release : 14.3 RU1 MP1

Resolution

Defwatch スキャンについて

SEP で使用するウイルス定義ファイルが更新されたときに、検疫場所に隔離されたファイルに対して再スキャンを行う機能です。検出されたウイルスは検疫される際、システムに感染しないよう元のファイルは圧縮、暗号化されます。この定義更新時の再スキャン機能が動作する際に、検疫済みのファイル(暗号化済み)を一度展開します。「DefWatch.DWH」フォルダは、Defwatch スキャンの実行でセキュリティリスクなどの検疫済みファイルを再スキャンするときの一時展開先となります。

同スキャンの検知に対する回避策について

以下のいずれかの方法をおとりください。

Defwatch スキャンの無効化

1. SEPM コンソールの「クライアント」タスクで、該当のクライアントグループを選択する
2. ポリシータブでウイルスとスパイウェア対策ポリシーを開く
3. Windows の設定の「管理者定義のスキャン」を選択し、右ペインの「拡張」タブをクリックする
4. 一番下の「新しい定義の到着時にアクティブスキャンを実行する」のチェックを外す
5. 左ペインの拡張オプションにある「検疫」を選択する
6. 右ペイン「全般」タブで「新しいウイルス定義の到着時」で「何もしない」にチェックを入れる
7. OK をクリックする

注: これらの設定を無効にすると定義ファイル更新後のスキャンが動作しなくなりますが、セキュリティレベルが落ちることはありません。

例外ポリシーの設定

1. SEPM コンソールの「クライアント」タスクで、該当のクライアントグループを選択する
2. ポリシータブで例外ポリシーを開く
3. [例外]-[追加]-[Windows の例外]-[フォルダ]の順にクリックする
4. [プレフィックス変数]ドロップダウンボックスで "[NONE]" を選択する
5. [フォルダ:] 欄に実際に該当ファイルが存在する場所の絶対パスを入力する
 例: C:\ProgramData\Symantec\DefWatch.DWH
6. [このフォルダを除外するスキャンの種類を指定してください]のところに「すべて」を選択する
7. 「サブフォルダを含める」にもチェックを入れて、OK をクリックする

Additional Information

管理者定義のスキャン: 拡張

検疫: 全般