Panda Cloud Antivirus Ver.1.1の振るまい(動作）ブロック機能のルールについて

Panda Cloud Antivirus 1.1 は、振る舞い(動作）ブロックとダイナミック振る舞い分析という2つのタイプの振る舞い防御機能を備えています。このポストでは、標準で無料版、Pro版の両方に含まれている振る舞い(動作）ブロック機能に含まれるルールについて詳しく説明したいと思います。

振る舞いブロックエンジンは脆弱性攻撃や特定のプログラムのグループによって実行される典型的な悪意のあるアクションにみられるルールを集めたもので構成されています。

マルウェアファミリーに特有のルール

• Rule 4001: TDSS Rootkitのインストールをブロックするジェネリックルール
  
  
• Rules 4002 & 4003: autorun.infファイルの生成と改変を制限することでAutorunタイプのマルウェアをブロック
  
  
• Rules 4004 & 4005: 特定のrogueware（偽アンチウイルスソフト等）のインストーラをブロック
  
  
• Rules 4006 & 4007: Lineage trojan ファミリーのインストールを阻止
  
  
• Rules 4009 & 4010: 全てのW32/Viking ウイルスの変種は共通の名前でファイルを生成するため、これらのファイル生成の実行を許可しない
  
  
• Rule 4011: W32/Beagleマルウェアによる典型的なファイルの生成やプロセスの実行をブロック

OSのセキュリティポリシー

• Rule 4008: いくつかのアプリケーション (電子メールクライアント、MSN、IM、ビデオ/サウンドプレーヤー) によるhostファイルの改変。これらはウェブサイトへのアクセスを別のhostsにリダイレクトする、典型的なOSに対しての悪意を持った改変です。
  
  
• Rules 4013 & 4014: Windowsは常にまずc:\explorer.exe があるかどうかを探します。もしそれが存在した場合、本物のWindows エクスプローラではなくそれを実行してしまいます。もしあなたが警告を受けとったとすると、ある種のマルウェアがファイル c:\explorer.exeを実行しようとしています、これは危険な動作です。
  
  
• Rule 5001: 通常の振る舞いとして、DNS サーバーアプリケーションは実行ファイルを作成したり実行することはありません。もしこの警告を受け取った場合、ある種の脆弱性が攻撃を受けているはずです。
  
  
• Rule 5003: 通常の振る舞いとして、電子メールクライアント、MSN、IM、ビデオ/サウンドプレーヤー、テキストエディタ、Officeアプリケーション、ファイル圧縮プログラム、等が管理、ネットワークやコマンドシェルといったツールを実行することはありません。この警告を受け取った場合、ある種の脆弱性が攻撃を受けているはずです。
  
  
• Rule 5004: 通常の振る舞いとして、ネットワークサーバーアプリケーションが管理、ネットワークやコマンドシェルといったツールを実行する必要はありません。この警告を受け取った場合、ある種の脆弱性が攻撃を受けているはずです。
  
• Rule 5008: 通常の振る舞いとして、あるアプリケーションがシステム上に実行ファイルを作成する必要はありません。この警告を受け取った場合、ある種の脆弱性が攻撃を受けているはずです。
  
  
• Rule 5023: 通常の振る舞いとして、DNSサーバーアプリケーション(dns.exe)が実行可能なプログラム生成したり実行したりする必要はありません。この警告を受け取った場合、ある種の脆弱性が攻撃を受けているはずです。

ブラウザの脆弱性に対する攻撃を防ぐルール

• Rule 5002: 通常の振る舞いとして、Webブラウザが管理、ネットワークやコマンドシェルといったツールを実行する必要はありません。この警告を受け取った場合、ある種の脆弱性が攻撃を受けているはずです。
  
  
• Rule 5005: 通常の振る舞いとして、Webブラウザがダウンロードプログラムディレクトリにあるファイルを実行する必要はありません。このルールはdrive-byダウンローダによって通常攻撃を受けるある種のIEの脆弱性を防ぐものです。この警告を受け取った場合、ある種の脆弱性が攻撃を受けているはずです。
  
  
• Rules 5020 & 5021: Internet Explorer の脆弱性が攻撃されMicrosoft HTML Application Hostsに悪意のあるコードを実行させるのを防止。 この警告を受け取った場合、いずれかのIE脆弱性が攻撃を受けているはずです。
  
  

一般的なアプリケーションの脆弱性に対する攻撃を防止するルール

• Rule 5006: 通常の振る舞いとして マルチメディアアプリケーションがファイルを実行する必要はありません。この警告を受け取った場合、ある種の脆弱性が攻撃を受けているはずです。
  
  
• Rule 5007: 通常の振る舞いとして Windows Media Player がファイルを実行する必要はありません。この警告を受け取った場合、ある種の脆弱性が攻撃を受けているはずです。
  
  
• Rules 5009 & 5014: 通常の振る舞いとして、Microsoft Word がシステム上に実行ファイルを生成する必要はありません。 この警告を受け取った場合、ある種の脆弱性が攻撃を受けているはずです。
  
  
• Rules 5010 & 5015: 通常の振る舞いとして、Microsoft Excelがシステム上に実行ファイルを生成する必要はありません。 この警告を受け取った場合、ある種の脆弱性が攻撃を受けているはずです。
  
  
• Rules 5011 & 5016: 通常の振る舞いとして、Microsoft PowerPointがシステム上に実行ファイルを生成する必要はありません。 この警告を受け取った場合、ある種の脆弱性が攻撃を受けているはずです。
  
  
• Rules 5012 & 5017: 通常の振る舞いとして、PDFリーダーがシステム上に実行ファイルを生成する必要はありません。 この警告を受け取った場合、ある種の脆弱性が攻撃を受けているはずです。
  
  
• Rules 5013 & 5018: 通常の振る舞いとして、Open Officeがシステム上に実行ファイルを生成する必要はありません。 この警告を受け取った場合、ある種の脆弱性が攻撃を受けているはずです。
  
  
• Rule 5019: 通常の振る舞いとして、Exchangeサーバーアプリケーションが管理、ネットワークやコマンドシェルといったツールを実行する必要はありません。この警告を受け取った場合、ある種のExchangeサーバー脆弱性が攻撃を受けているはずです。
  
  
• Rule 5022: 通常の振る舞いとして、IIS Webサーバーアプリケーションが管理、ネットワークやコマンドシェルといったツールを実行する必要はありません。この警告を受け取った場合、ある種のIIS脆弱性が攻撃を受けているはずです。
  
  
• Rule 5024: 特定のOSやサードパーティーアプリケーションの脆弱性を突いて、悪意のあるコードを実行させようとする攻撃をブロックするジェネリックルール。 この警告を受け取った場合、ある種の脆弱性が攻撃を受けているはずです。

この振る舞い(動作)ブロックエンジンのおかげで、Panda Cloud Antivirusはプロアクティブかつジェネリックに、定義ファイルやヒューリスティック検出さえもすり抜けようとする膨大な種類のマルウェアや脆弱性攻撃から防御することが可能になります。また更に重要なことは、これらがシステムのパフォーマンスに影響を与えずに実行できるということです。