ALERT: Some images may not load properly within the Knowledge Base Article. If you see a broken image, please right-click and select 'Open image in a new tab'. We apologize for this inconvenience.

SYMAMSI.DLL が多くの Windows プロセスに挿入されている

book

Article ID: 239952

calendar_today

Updated On:

Products

Endpoint Protection Endpoint Security Endpoint Security Complete

Issue/Introduction

Windows OS の SCCM、CCMEXEC、PowerShell、Regedit など多くのプロセスに SYMAMSI.DLL ファイルが挿入されている。

Resolution

この挙動は、ランサムウェアやゼロディ攻撃、スローインフェクターからの保護や、機械学習の検出とチューニングを支援するため、OS レベルの動作を監視する目的で使用されるいくつかのフックの 1 つです。

この DLL は、ドロッパーによる Living Off The Land 攻撃、メモリ開放、プロセスジャンプなどを阻止するのに役立つ様々な呼び出しを監視し、通常の Windows 操作が乗っ取られたりマルウェアコードの出力に利用されたりしないようにします。

Additional Information

[英語文書] Why does SYMAMSI.DLL injection into many Windows Processes?