マシンやドライブ、USB ドライブがサードパーティのウイルス対策ソリューションによってスキャンされ、autorun.inf ファイル、スケジュールタスク (AT タスク)、レジストリキーが悪意のあるものとして検出された。

正規のタスクと脅威を起動するタスクを区別することは困難な場合があります。そのため、脅威の修復の一環としてタスクを削除することはありません。これは、.LNK ショートカットファイルについても同様です。

SEP (Symantec Endpoint Protection) には、autorun.inf を読み込んで脅威を起動させないようにする機能があります。自動実行はオペレーティングシステムの正当な機能であるため、これらのファイルのブロックや削除は管理者の手に委ねられています。

アプリケーションとデバイス制御には、リムーバブルドライブ上でファイルが実行されるのを防ぐ機能もあり、それによって脅威がインストールされるのを防ぐことができます。脅威がマシンに感染する前のレジストリキーの値を知る方法がないため、一部のレジストリキーを復元することは原則できません。

autorun.inf ファイルは、それ自体は無害なものです。悪意のあるコードは含まれておらず、システムに害を及ぼすことはありません。当社の検出エンジンは、実際の悪意のあるファイルに焦点を合わせています。autorun.inf ファイルを使用して起動する悪意のあるファイルは、シマンテックによって検出されます。セキュリティの観点からは、autorun.inf に対するシマンテックのポリシーに基づくセキュリティレベルの低下はありません。

autorun.inf ファイルの使用をすべて防止したいお客様は、自動再生/自動実行機能をオフにするか、アプリケーションとデバイス制御を使用してこの機能をロックダウンすることを推奨します。シマンテックでは、特定のファイルの作成をロックし、USB ドライブを介した脅威の伝播を防止するアプリケーションとデバイス制御ポリシーを作成しました。

• アプリケーションとデバイス制御ポリシーについて

一部のセキュリティベンダーが autorun.inf ファイルをマルウェアとして報告し、その結果、削除していることを承知しています。シマンテックでは、システムの不安定性を引き起こしたり、優れたアプリケーションの正常な機能を破壊したりする可能性があるため、ウイルスコードを含まないファイルは削除しないことにしています。しかし、シマンテックでは、マルウェアを駆除する際に、孤立した autorun.inf ファイルが残存する可能性があることを認識しています。無害とはいえ、お客様に不安を与える可能性があります。2011 年 6 月初旬にリリースされた最新の Eraser Engine では、マルウェアの駆除後に残された autorun.inf ファイルを識別し、削除する機能が実装されています。ただし、これは、当社がすべての autorun.inf ファイルを削除することを意味するものではなく、また、他のアンチウイルスベンダーが特定のファイルに対して悪意のある判定を下す際に、当社が常に同意することを意味するものではありません。

その他の注意事項

マルウェアによって作成されたスケジュールタスクは、それ自体は悪意のあるものではありませんが (提出すると "Determination:Data File" となります) 、ネットワーク上の未検出のマルウェアや感染したコンピューターを特定するための有効な手がかりとなる場合があります。How to determine which remote computer has created a malicious scheduled task を参照してください。

[英語文書] Why Endpoint Protection does not remove AT, INF, INI, and registry keys related to infections