ユーザーマニュアルユーザーマニュアル
ユーザーマニュアル
ユーザーマニュアルユーザーマニュアル
UNIX
ネットワークコンピュータ&シングルコンピュータ用
ドキュメント作成日:2006年4月
Sophos Anti-Virus UNIX ユーザーマニュアル
このマニュアルについて
このユーザーマニュアルでは、Sophos Anti-Virus for UNIX の使用方法、および次
の事柄を環境設定する方法について説明します。
! ウイルス検索
! 感染ファイルの隔離
! 駆除
! セントラルレポート
また、一般的な問題に関する解決策、および UNIX サーバーから Sophos Anti-Virus
をアンインストールする方法についても説明します。
自動自動
自動で Sophos Anti-Virus をインストールし、アップデートする方法は、Sophos
自動自動
Anti-Virus Network Install CD(ネットワークインストール CD)上の「Sophos
Anti-Virus&Sophos Client Firewall スタートアップガイド」をご覧ください。
で Sophos Anti-Virus をインストールし、アップデートする方法は、Sophos
Anti-Virus Supplementary CD(補足 CD)上の 「Sophos Anti-Virus UNIX スタート
アップガイド」をご覧ください。
手動手動
手動
手動手動
ソフォスのドキュメントは、Sophos CD および www.sophos.co.jp/support/docs/ に
てリリースされています。
2
Sophos Anti-Virus UNIX ユーザーマニュアル
目次
Sophos Anti-Virus を使う
1 コンピュータのウイルス検索 6
2 感染ファイルの隔離 8
3 駆除 9
4 エラーコード 11
環境設定
5 Sophos Anti-Virus の環境設定 14
6 オプションスイッチ 16
セントラルレポート
7 セントラルレポートの開始と監視 26
8 セントラルレポートの環境設定 28
9 セントラルレポートのレポートレベルの設定 30
トラブルシューティング
10 トラブルシューティング 34
補足
補足1 Sophos Anti-Virus のアンインストール 40
用語集と索引
用語集 42
索引 45
テクニカルサポート 47
3
Sophos Anti-Virus UNIX ユーザーマニュアル
4
Sophos Anti-Virus を使う
コンピュータのウイルス検索
感染ファイルの隔離
駆除
エラーコード
Sophos Anti-Virus UNIX ユーザーマニュアル
1コンピュータのウイルス検索
アイテムをウイルス検索する場合は、sweepと入力し、続いて検索するアイ
テムのパスを入力します。
デフォルトで Sophos Anti-Virus は次のアイテムを検索します:
! Windows 実行ファイル
! .sh ファイル、.pl ファイル
! マクロを含むことのできるファイル
! HTML ファイル
! PKLite、LZEXE、Diet などで圧縮されたファイル
! 指定したディレクトリの下にあるディレクトリ
! シンボリックリンクで指定されたアイテム
検索されるファイルの種類の一覧は、オプションスイッチ -vvを使用して
sweep を実行し、表示してください。
検索するアイテムの種類を変更する場合は、5項と6項をご覧ください。
Sophos Anti-Virus は、crontab 機能を使って、指定した時刻に UNIX コンピュータ
を自動検索できます。詳細はご使用システムのドキュメントをご覧ください。
1.1 ローカルコンピュータの検索
ローカルコンピュータをウイルス検索する場合は、次のように入力します:
sweep /
1.2 特定のディレクトリやファイルの検索
特定のディレクトリやファイルをウイルス検索する場合は、検索するアイテムの
パスを指定します。例:
sweep /usr/mydirectory/myfile
1.3 ファイルシステムの検索
ファイルシステムをウイルス検索する場合は、ファイルシステム名を指定します。例:
sweep /home
コマンドラインで複数のファイルシステムを指定することができます。
6
1.4 ブートセクタの検索
ブートセクタのウイルス検索は、Linux/Intel(libc6)と FreeBSD(バージョン3以降)
のみで実行できます。
論理ドライブおよび物理ドライブのブートセクタを検索できます。
ブートセクタを検索する場合は、(ディスクデバイスへアクセスするため)スー
パーユーザーとしてログインし、次のいずれかのコマンドを使用します。
特定の論理ドライブのブートセクタを検索する場合:
sweep -bs=xxx, xxx,...
ここで xxx はドライブ名です。(例: /dev/fd0、/dev/hda1 など)
Sophos Anti-Virus がアクセスできるすべての論理ドライブのブートセクタを検索
する場合:
Sophos Anti-Virus UNIX ユーザーマニュアル
sweep -bs
システム上のすべての固定物理ドライブのマスターブートレコードを検索する場合:
sweep -mbr
1.5 ウイルスを発見した場合
検索終了後、次のような警告メッセージが表示されます。
Sophos Anti-Virus
いて、VirusあるいはVirus fragmentと表示された行に報告されます。
SWEEP virus detection utility
Version 3.90.0 [Linux/Intel]
Virus data version 3.90, February 2005
Includes detection for 99603 viruses, trojans and worms
Copyright (c) 1989-2005 Sophos Plc, www.sophos.com
System time 09:35:55, System date 16 February 2005
Quick Sweeping
>>> Virus 'EICAR-AV-Test' found in file /home/source/eicar.src
がウイルスを発見するがウイルスを発見する
がウイルスを発見すると、発見されたウイルスは、>>> に続
がウイルスを発見するがウイルスを発見する
33 files swept in 2 seconds.
1 virus was discovered.
1 file out of 33 was infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
End of Sweep.
駆除に関する情報は、3項をご覧ください。
7
Sophos Anti-Virus UNIX ユーザーマニュアル
2感染ファイルの隔離
感染ファイルを隔離してアクセスを禁止するよう、Sophos Anti-Virus を環境設定
できます。隔離は、感染ファイルの所有者とパーミッションを変更することに
よって行われます。
隔離を指定する場合は次のように入力します:
sweep パス名--quarantine
ここで パス名 は、検索するパスです。
デフォルトで Sophos Anti-Virus は、感染ファイルの所有者を、Sophos Anti-Virus
を実行しているユーザーに変更し、ファイルのパーミッションを -r-------- (0400)
に変更します。
なお、感染ファイルに適用される所有ユーザーやグループ、およびファイルの
パーミッションを予め指定することもできます。これには、次のパラメータを使
用します:
<uid=nnn>
<user=username>
<gid=nnn>
<group=groupname>
<mode=ppp>
同一タイプのパラメータは、一度に1 つしか指定できないことにご注意くださ
い。例えば、username を二度指定したり、uid と username を同時に指定するこ
とはできません。
値を指定しなかったパラメータには、先程のデフォルト値が使用されます。
次のように指定すると、
sweep fred --quarantine:user=sweep,group=virus,mode=0400
感染ファイルを所有するユーザーは sweep に、グループは virus に、ファイルの
パーミッションは -r-------- に変更されます。
隔離の他に駆除(3項)も指定した場合、Sophos Anti-Virus は駆除に失敗した場合
のみに感染アイテムを隔離します。
8
3駆除
この項では、UNIX コンピュータにある感染アイテムを駆除する方法について説明
します。UNIX 以外のクライアントマシンの駆除方法については、該当するプラッ
トフォーム用の Sophos Anti-Virus ドキュメントをご覧ください。
駆除方法は、感染アイテムがデータファイルか、プログラムか、ブートセクタか
によって異なります。
3.1 データファイルを駆除する
(文書ファイルやスプレッドシートなど)特定のデータファイルを駆除する場合
は、次のように入力します:
sweep [データファイルへのパス] -di
一方、システム上のあらゆるデータファイルやプログラム内のウイルスを検出
し、駆除する場合は、次のように入力します:
Sophos Anti-Virus UNIX ユーザーマニュアル
sweep / -di
いずれの場合も、ウイルス駆除前に確認メッセージが表示されます。
駆除後は、駆除したデータファイルの内容を注意深く確認してください。駆除後は、駆除したデータファイルの内容を注意深く確認してください。
駆除後は、駆除したデータファイルの内容を注意深く確認してください。Sophos
駆除後は、駆除したデータファイルの内容を注意深く確認してください。駆除後は、駆除したデータファイルの内容を注意深く確認してください。
Anti-Virus
ソフォスソフォス
ソフォス Web
ソフォスソフォス
の副作用についてもお読みください。の副作用についてもお読みください。
の副作用についてもお読みください。
の副作用についてもお読みください。の副作用についてもお読みください。
はウイルスを除去できますが、副作用を元に戻すことはできません。はウイルスを除去できますが、副作用を元に戻すことはできません。
はウイルスを除去できますが、副作用を元に戻すことはできません。
はウイルスを除去できますが、副作用を元に戻すことはできません。はウイルスを除去できますが、副作用を元に戻すことはできません。
サイトにある各ウイルスの解析情報を参照し、該当する場合、そサイトにある各ウイルスの解析情報を参照し、該当する場合、そ
サイトにある各ウイルスの解析情報を参照し、該当する場合、そ
サイトにある各ウイルスの解析情報を参照し、該当する場合、そサイトにある各ウイルスの解析情報を参照し、該当する場合、そ
3.2 Windows プログラムを駆除する
プログラムファイル内のウイルスは、次の2 通りの方法で除去できます。
特定の感染プログラムを駆除する場合特定の感染プログラムを駆除する場合
特定の感染プログラムを駆除する場合は、以下のように入力します:
特定の感染プログラムを駆除する場合特定の感染プログラムを駆除する場合
sweep [プログラムファイル名] -di
これによってウイルスの感染が食い止められます。しかしプログラムが破損して
いる可能性があるので、駆除後はプログラムを削除し、バックアップより元の
ファイルと置き換えるようにしてください。
特定の感染プログラムを削除する場合特定の感染プログラムを削除する場合
特定の感染プログラムを削除する場合は、次のように入力します:
特定の感染プログラムを削除する場合特定の感染プログラムを削除する場合
sweep [プログラムファイル名] -remove
また、すべての感染プログラムを削除する場合は、次のように入力します:
sweep / -remove
いずれの場合も、プログラムを削除する前に確認メッセージが表示されます。
9
Sophos Anti-Virus UNIX ユーザーマニュアル
3.3 ブートセクタを駆除する
ブートセクタの駆除は、Linux/Intel(libc6)と FreeBSD(バージョン3以降)のみ
で実行できます。
ブートセクタを駆除する場合は、次のように入力します:
sweep -bs=xxx -di
ここで xxx はドライブ名です。
例えば、フロッピーディスク内のウイルスを駆除する場合は、次のように入力し
ます:
sweep -bs=/dev/fd0 -di
10
4エラーコード
エラーが発生したり、ウイルスが発見された場合、Sophos Anti-Virus はエラー
コードを返します。
0 エラーがなく、ウイルスが発見されなかった場合
1 ユーザーが「Ctrl+c」キーを押して、実行を中断した場合
2 実行の継続を妨げるエラーが発生した場合
3 ウイルスやウイルスフラグメントが発見された場合
4.1 拡張エラーコード
コマンド sweep をオプションスイッチ-eecを使用して実行した場合、前項と
は異なった、次のようなエラーコードが返されます。
Sophos Anti-Virus UNIX ユーザーマニュアル
0 エラーがなく、ウイルスが発見されなかった場合
8 エラーが発生した場合
16 パスワードで保護されたファイルが発見された場合(ファイルは未検索です)
20 ウイルスが発見され、駆除された場合
24 ウイルスが発見され、駆除されなかった場合
28 メモリにウイルスが発見された場合
32 整合性チェックに失敗した場合
36 致命的なエラーが発生した場合
40 実行が中断された場合
11
Sophos Anti-Virus UNIX ユーザーマニュアル
12
環境設定
Sophos Anti-Virus の環境設定
オプションスイッチ
Sophos Anti-Virus UNIX ユーザーマニュアル
5 Sophos Anti-Virus の環境設定
この項では、以下の操作を行うため Sophos Anti-Virus を環境設定する方法につい
て説明します。
! ファイル全種類の検索(5.1項)
! 圧縮ファイル内の検索(5.2項)
! リモートコンピュータの検索(5.3項)
! シンボリックリンクのあるアイテムを検索から除外(5.4項)
! 起動ファイルシステムや起動コンピュータのみを検索(5.5項)
環境設定オプションの全容は6項をご覧ください。
この項にあるコマンドで、「パス名」は検索するパスを指します。
5.1 ファイル全種類の検索
デフォルトで Sophos Anti-Virus は実行ファイルのみを検索します。ファイルの種
類に関わらず、すべてのファイルを検索する場合は、以下のように入力します。
sweep パス名-all
これは実行ファイルのみを検索する場合と比べて時間がかかり、使用中のファイ
ルを Sophos Anti-Virus が開こうとした場合、サーバーのパフォーマンスに影響を
与えることがあります。また、誤警告を引き起こす原因ともなり得ます。
5.2 圧縮ファイル内の検索
Sophos Anti-Virus は、オプションスイッチ-archiveを使用して実行した場合、
圧縮ファイル内を検索できます。
sweep パス名-archive
検索可能な圧縮ファイルは、ARJ、CMZ、GZip、LZH、RAR、TAR、Zip などです。
圧縮ファイル内に別の圧縮ファイルがある場合、(例えば、Zip ファイル内に
TAR ファイルがある場合)、それは再帰的に検索されます。
14
また、特定の圧縮ファイルの検索を指定することもできます。例えば、TAR 内を
検索する場合は以下のように入力します:
sweep パス名-tar
また、TAR ファイルや Zip ファイルを検索する場合は、以下のように入力します。
sweep パス名-tar -zip
Sophos Anti-Virus UNIX ユーザーマニュアル
複合アーカイブが多数ある場合、検索の実行速度が遅くなることが考えられるの
で、無人のスケジュールモード検索を実行する場合はこのことにご注意ください。
検索される圧縮ファイルの種類の一覧は、オプションスイッチ-vvを使用して
表示できます。
5.3 リモートコンピュータを検索する
デフォルトで Sophos Anti-Virus は、リモートコンピュータ上のアイテムをウイル
ス検索しません。(つまり、リモートのマウントポイントを介しません。)リモー
トコンピュータの検索を有効にする場合は、以下のように入力します。
sweep パス名--no-stay-on-machine
5.4 シンボリックリンクのあるアイテムの検索を無効にする
デフォルトで Sophos Anti-Virus は、シンボリックリンクによって指定されるアイ
テムをウイルス検索します。これを無効にする場合は、以下のように入力します。
sweep パス名--no-follow-symlinks
アイテムの検索を一度に限定する場合は、オプションスイッチ
-backtrackprotectionを使用してください。
5.5 起動ファイルシステムのみを検索する
起動ファイルシステム以外にあるアイテムを検索しないよう(つまり、マウント
ポイントを介さないよう)Sophos Anti-Virus を環境設定できます。以下のように
入力します。
sweep パス名--stay-on-filesystem
15
Sophos Anti-Virus UNIX ユーザーマニュアル
6 オプションスイッチ
この項にあるオプションスイッチを使用して、検索および駆除を環境設定できま
す。以下のようなオプションスイッチがあります。
! 他の OS用 Sophos Anti-Virus と共通なオプションスイッチ(6.1項)
! Sophos Anti-Virus for UNIX 特有のオプションスイッチ(6.2項)
! Linux および FreeBSD 特有のオプションスイッチ(6.3項)
この項にあるコマンドで、「パス名」は検索するパスを指します。
6.1 Sophos Anti-Virus オプションスイッチ
各オプションスイッチの頭に-nを付けると逆の意味を持ちます。例えば、
-nscは-scの逆です。
オプションスイッチの一覧を表示する場合は、以下のように入力します。
sweep -h
すべてのファイルをウイルス検索するすべてのファイルをウイルス検索する
-all
すべてのファイルをウイルス検索する
すべてのファイルをウイルス検索するすべてのファイルをウイルス検索する
これを使用すると、Sophos Anti-Virus は、実行ファイルだけでなく、ファイルシ
ステム内の全ファイルをウイルス検索します。
これは実行ファイルのみを検索する場合と比べて時間がかかり、使用中のファイ
ルを Sophos Anti-Virus が開こうとした場合、サーバーのパフォーマンスに影響を
与えることがあります。また、誤警告を引き起こす原因ともなり得ます。
-archive
これを使用すると、Sophos Anti-Virus は、ARJ、CMZ、GZip、LZH、RAR、TAR、
Zip などの圧縮ファイル内を検索します。
圧縮ファイル内に別の圧縮ファイルがある場合、(例えば、Zip ファイル内に
TAR ファイルがある場合)、それは再帰的に検索されます。
また、特定の圧縮ファイルの検索を指定することもできます。例えば、TAR 内を
検索する場合は以下のように入力します:
圧縮ファイル内をウイルス検索する圧縮ファイル内をウイルス検索する
圧縮ファイル内をウイルス検索する
圧縮ファイル内をウイルス検索する圧縮ファイル内をウイルス検索する
16
sweep パス名-tar
また、TAR ファイルや Zip ファイルを検索する場合は、以下のように入力します。
sweep パス名-tar -zip
複合アーカイブが多数ある場合、検索の実行速度が遅くなることが考えられるの
で、無人のスケジュールモード検索を実行する場合はこのことにご注意ください。
Sophos Anti-Virus UNIX ユーザーマニュアル
検索される圧縮ファイルの種類の一覧は、オプションスイッチ-vvを使用して
表示できます。
ウイルス発見の際にベルを鳴らすウイルス発見の際にベルを鳴らす
-b
ウイルス発見の際にベルを鳴らす
ウイルス発見の際にベルを鳴らすウイルス発見の際にベルを鳴らす
これを使用すると、Sophos Anti-Virus がウイルスやウイルスフラグメントを発見
した際、ベルが鳴ります。これはデフォルトで指定されています。
ウイルス駆除・削除の前に確認メッセージを表示するウイルス駆除・削除の前に確認メッセージを表示する
-c
ウイルス駆除・削除の前に確認メッセージを表示する
ウイルス駆除・削除の前に確認メッセージを表示するウイルス駆除・削除の前に確認メッセージを表示する
これを使用すると、Sophos Anti-Virus は、ファイルの駆除・削除の前に確認メッ
セージを表示します。これはデフォルトで指定されています。
駆除する駆除する
-di
駆除する
駆除する駆除する
これを使用すると、Sophos Anti-Virus は、データファイル、プログラム、および
ブートセクタを自動駆除します。3 項をご覧ください。
検索中のファイルのファイル名を表示する検索中のファイルのファイル名を表示する
-dn
検索中のファイルのファイル名を表示する
検索中のファイルのファイル名を表示する検索中のファイルのファイル名を表示する
これを使用すると、Sophos Anti-Virus は、時刻、および検索しているファイルの
ファイル名を表示します。
拡張エラーコードを使用する拡張エラーコードを使用する
-eec
拡張エラーコードを使用する
拡張エラーコードを使用する拡張エラーコードを使用する
これを使用すると、Sophos Anti-Virus は拡張エラーコードを使用します。詳細
は、4項をご覧ください。
-exclude
検索からアイテムを除外する検索からアイテムを除外する
検索からアイテムを除外する
検索からアイテムを除外する検索からアイテムを除外する
これを使用すると、コマンドラインでこのオプションスイッチの後に指定したア
イテム(ファイル、ディレクトリ、またはファイルシステム)を、検索から除外
するよう指定することができます。
オプション-excludeを使用後は、オプション-includeを使用して、そのオ
プションの後に指定したアイテムを検索することを指定できます。例:
sweep fred harry -exclude tom peter -include bill
これは、アイテムfred、harryおよびbillを検索しますが、tomや
peterは検索しません。
オプション-excludeは、他のディレクトリの下にあるファイルやディレクトリ
を指定するためにも使用することができます。例:
sweep /home/fred -exclude /home/fred/games
これは、Fred の home ディレクトリすべてを検索しますが、ディレクトリ games
(およびその下のディレクトリとファイルすべて)は除外します。
17
Sophos Anti-Virus UNIX ユーザーマニュアル
-ext=
実行ファイルと定義されているファイルの拡張子実行ファイルと定義されているファイルの拡張子
実行ファイルと定義されているファイルの拡張子
実行ファイルと定義されているファイルの拡張子実行ファイルと定義されているファイルの拡張子
デフォルトで Sophos Anti-Virus は、一定のファイル拡張子を持つ DOS 実行ファイル
と Windows 実行ファイルを検索します。(使用するファイル拡張子の一覧は、オプ
ションスイッチ-vvを使用してsweep コマンドを実行して表示できます。)
Sophos Anti-Virus が検索するファイル拡張子を追加で指定する場合は、オプショ
ンスイッチ-ext=で拡張子をコンマで区切って指定してください。
ファイル拡張子リストにあるファイルを検索から除外する場合は、-nextを使
用してください。
UNIX で実行ファイルと指定されているファイルを検索する場合は、6.2項にある
オプションスイッチ--examine-x-bitを参照してください。
フルモード検索フルモード検索
-f
フルモード検索
フルモード検索フルモード検索
デフォルトで Sophos Anti-Virus は、ファイル内でウイルスが存在する可能性のあ
る部分のみを検索します。フルモード検索は、各ファイルの内容すべてを調べる
もので、このオプションスイッチを使って指定できます。
フルモード検索は、デフォルト検索より時間がかかります。
-h ヘルプ
UNIX 特有のオプションスイッチも含め、すべてのオプションスイッチが表示され
ます。
-idedir=
別のディレクトリからウイルス別のディレクトリからウイルス
別のディレクトリからウイルス ID
別のディレクトリからウイルス別のディレクトリからウイルス
((
(IDE
((
ファイル)を読み取るファイル)を読み取る
ファイル)を読み取る
ファイル)を読み取るファイル)を読み取る
これを使用すると、別の IDE 用ディレクトリを指定できます。例:
sweep パス名-idedir=/ide
この場合、Sophos Anti-Virus はデフォルトのディレクトリ(通常 /usr/local/sav)
からでなく、ディレクトリ /ide から IDE ファイルを読み取ります。
-mime MIME
ファイルを検索するファイルを検索する
ファイルを検索する
ファイルを検索するファイルを検索する
これを使用すると、Sophos Anti-Virus は MIME ファイルを検索します。デフォル
トで MIME ファイルの検索は
--no-stop-scan Sophos Anti-Virus
検索する検索する
検索する
検索する検索する
無効無効
無効になっています。
無効無効
が誤って「が誤って「
が誤って「Zip bomb
が誤って「が誤って「
」と判断するファイルを」と判断するファイルを
」と判断するファイルを
」と判断するファイルを」と判断するファイルを
18
デフォルトで Sophos Anti-Virus は、「Zip bomb」を検出すると、その検索を停止
します。
Sophos Anti-Virus UNIX ユーザーマニュアル
「Zip bomb」は、ウイルス対策スキャナの動作を妨害する悪質なファイルです。
一見、害のないアーカイブファイルのように見えますが、検索するために解凍す
ると、多大な時間、ディスク空き容量、またはメモリを消費します。
「Zip bomb」が検出されると、次のようなメッセージが表示されます。
Aborted checking /home/fred/misc/b.zip - appears to be a 'zip bomb'
Sophos Anti-Virus は、複合アーカイブが多数ある場合など、ファイルを誤って
「Zip bomb」と検出し、検索を停止することがあります。このようなファイルを
検索するには、--no-stop-scan オプションを使用してください。例:
sweep /home/fred/package.zip --no-stop-scan
この場合、「Zip bomb」として検出されても、package.zip は検索されます。
このオプションを使用すると、「Zip bomb」に実際にアクセスした際も Sophos
Anti-Virus は検索を続けるので、使用はなるべく避けてください。
-oe Outlook Express
メールボックスを検索するメールボックスを検索する
メールボックスを検索する
メールボックスを検索するメールボックスを検索する
これを使用すると、Sophos Anti-Virus は Outlook Express メールボックスを検索し
ます。デフォルトで Outlook Express メールボックスの検索は
無効無効
無効になっていま
無効無効
す。なお、このオプションスイッチを使用する場合は、オプションスイッチ
-mimeも使用する必要があります。
-p=<
ファイル名ファイル名
ファイル名|
ファイル名ファイル名
デバイス名デバイス名
デバイス名>
デバイス名デバイス名
画面画面
画面
画面画面
へへ
の出力をファイルやデバイスにコピーするの出力をファイルやデバイスにコピーする
へ
の出力をファイルやデバイスにコピーする
へへ
の出力をファイルやデバイスにコピーするの出力をファイルやデバイスにコピーする
これを使用すると、Sophos Anti-Virus は画面に出力した内容を、特定のファイル
やデバイスにも送信します。例:
sweep パス名 -p=log.txt
この場合、Sophos Anti-Virus は画面への出力内容をファイル log.txt に送信します。
繰り返し検索する繰り返し検索する
-rec
繰り返し検索する
繰り返し検索する繰り返し検索する
これを使用すると、Sophos Anti-Virus はコマンドラインで指定したディレクトリ
の下にあるディレクトリも検索します。これはデフォルトで指定されています。
-remove
感染アイテムを削除する感染アイテムを削除する
感染アイテムを削除する
感染アイテムを削除する感染アイテムを削除する
これを使用すると、Sophos Anti-Virus は感染アイテムを削除します。
検索中のエリアを表示しない検索中のエリアを表示しない
-s
検索中のエリアを表示しない
検索中のエリアを表示しない検索中のエリアを表示しない
これを使用すると、Sophos Anti-Virus は検索中のエリアを画面に表示しません。
これはデフォルトで指定されています。
19
Sophos Anti-Virus UNIX ユーザーマニュアル
圧縮ファイル内をウイルス検索する圧縮ファイル内をウイルス検索する
-sc
圧縮ファイル内をウイルス検索する
圧縮ファイル内をウイルス検索する圧縮ファイル内をウイルス検索する
これを使用すると、Sophos Anti-Virus は、PKLite、LZEXE、Diet などを使って圧縮
されたファイルを検索します。これはデフォルトで指定されています。
バージョン番号バージョン番号
-v
バージョン番号
バージョン番号バージョン番号
これを使用すると、Sophos Anti-Virus は、バージョン番号と現在使用中のウイル
ス定義ファイル(IDE ファイル)の一覧を表示します。
完全なバージョン情報完全なバージョン情報
-vv
完全なバージョン情報
完全なバージョン情報完全なバージョン情報
これを使用すると、Sophos Anti-Virus は、バージョン番号、現在使用中のウイル
ス定義ファイル(IDE ファイル)の一覧、検索するファイルの拡張子、および検
索する圧縮ファイルの種類を表示します。
6.2 UNIX 特有のオプションスイッチ
以下のオプションスイッチは UNIX 特有のものです。オプションスイッチの頭に
no-を付けると逆の意味を持ちます。
例:--no-follow-symlinksは--follow-symlinksの逆です。
--args-file=[
Sophos Anti-Virus はファイルよりコマンドライン引数を読み取ります。コマンド
ライン引数は、ディレクトリ名、ファイル名、オプションスイッチなどです。例:
sweep --args-file=scanlist
この場合、Sophos Anti-Virus は、ファイル scanlist からコマンドライン引数を読
み取ります。ファイルの終わりに到達すると、今度はコマンドラインから引数を
読み取ります。
[ファイル名] にて-を指定すると、Sophos Anti-Virus は stdin(標準入力)から
入力を得ます。なお、次のオプションスイッチは、ここで指定したファイル内で
使用することはできません: -eec、-neec、-p=、-s、-ns、-dn、-ndn
--backtrack-protection
ファイル名ファイル名
ファイル名]
ファイル名ファイル名
ファイルよりコマンドライン引数を読み取るファイルよりコマンドライン引数を読み取る
ファイルよりコマンドライン引数を読み取る
ファイルよりコマンドライン引数を読み取るファイルよりコマンドライン引数を読み取る
バックトラッキングを防ぐバックトラッキングを防ぐ
バックトラッキングを防ぐ
バックトラッキングを防ぐバックトラッキングを防ぐ
20
これを使用すると、Sophos Anti-Virus は同じファイルを二度検索(バックトラッ
キング)しません。バックトラッキングは、シンボリックリンクによって引き起
こされる問題です。このオプションはデフォルトで指定されています。
--examine-x-bit UNIX
これを使用すると、Sophos Anti-Virus は、Sophos Anti-Virus 実行ファイルリスト
内の拡張子を持つアイテムの他に、UNIX が実行ファイルと定義したアイテムすべ
が実行ファイルと定義したアイテムをすべて検索するが実行ファイルと定義したアイテムをすべて検索する
が実行ファイルと定義したアイテムをすべて検索する
が実行ファイルと定義したアイテムをすべて検索するが実行ファイルと定義したアイテムをすべて検索する
Sophos Anti-Virus UNIX ユーザーマニュアル
てを検索します。(ファイル拡張子の一覧は、オプションスイッチ-vvを使っ
て sweep コマンドを実行し、表示できます。)
--follow-symlinks
シンボリックリンクが指定するアイテムを検索するシンボリックリンクが指定するアイテムを検索する
シンボリックリンクが指定するアイテムを検索する
シンボリックリンクが指定するアイテムを検索するシンボリックリンクが指定するアイテムを検索する
これを使用すると、Sophos Anti-Virus は、シンボリックリンクが指定するアイテ
ムをウイルス検索します。これはデフォルトで指定されています。
--preserve-backtrack
バックトラッキング情報を保存するバックトラッキング情報を保存する
バックトラッキング情報を保存する
バックトラッキング情報を保存するバックトラッキング情報を保存する
これを使用すると、Sophos Anti-Virus は検索セッション中、バックトラッキング
情報を保存します。これはデフォルトで指定されています。
--quarantine
感染ファイルを隔離する感染ファイルを隔離する
感染ファイルを隔離する
感染ファイルを隔離する感染ファイルを隔離する
これを使用すると、Sophos Anti-Virus は感染ファイルを隔離します。隔離は、感
染ファイルの所有者とパーミッションを変更することによって行われます。
ファイルの駆除も指定している場合、Sophos Anti-Virus は、まず駆除を試み、駆
除に失敗した場合のみにファイルを隔離します。
特に指定のない限り、Sophos Anti-Virus は、感染ファイルの所有者を Sophos Anti-Virus
を実行しているユーザーに変更し、ファイルのパーミッションを -r -------- (0400)
に変更します。
このオプションスイッチは、次のようなパラメータと共に使用できます:
<uid=nnn>
<user=username>
<gid=nnn>
<group=groupname>
<mode=ppp>
なお、同一タイプのパラメータは、一度に1 つしか指定できないことにご注意く
ださい。例えば、username を二度指定したり、uid と username を同時に指定し
たりすることはできません。
値が指定されなかったパラメータには、デフォルト値が使用されます。
以下のように指定すると、
sweep fred --quarantine:user=sweep,group=virus,mode=0400
感染ファイルを所有するユーザーは sweep に変更され、グループは virus に変更
され、ファイルのパーミッションは -r-------- に変更されます。
所有者やパーミッションの指定には、特別のアクセス権限を持つユーザーか、
スーパーユーザーとしてログインしていることが必要な場合があります。
21
Sophos Anti-Virus UNIX ユーザーマニュアル
--reset-atime
ファイル検索後、Sophos Anti-Virus はファイルへのアクセス時刻(atime)を検索
前の時刻にリセットします。しかし、ファイルを駆除した場合、アクセス時刻と
変更時刻は更新されます。このオプションスイッチはデフォルトで指定されてい
ます。
検索済みファイルすべてが、アーカイバによって常にバックアップされてしまう
ことがあります。これは、atime のリセットが、i ノードのステータス変更時刻
(ctime)の変更に相当することによります。このような場合は、オプションス
イッチ--no-reset-atimeを使って sweep コマンドを実行してください。
--show-file-details
これを使用すると、Sophos Anti-Virus は、ファイル名を表示したり、ログに記載
する際、ファイル所有者およびパーミッションの詳細を表示します。
--skip-special
これを使用すると、Sophos Anti-Virus は、/dev、/proc、/devices のような特別なオ
ブジェクトを検索しません。これはデフォルトで指定されています。
ファイルのアクセス時刻をリセットするファイルのアクセス時刻をリセットする
ファイルのアクセス時刻をリセットする
ファイルのアクセス時刻をリセットするファイルのアクセス時刻をリセットする
ファイル所有者の詳細を表示するファイル所有者の詳細を表示する
ファイル所有者の詳細を表示する
ファイル所有者の詳細を表示するファイル所有者の詳細を表示する
特別なオブジェクトを検索しない特別なオブジェクトを検索しない
特別なオブジェクトを検索しない
特別なオブジェクトを検索しない特別なオブジェクトを検索しない
--stay-on-filesystem
これを使用すると、Sophos Anti-Virus はリモートのマウントポイントを介さず
に、起動ファイルシステムのみをウイルス検索します。
--stay-on-machine
これを使用すると、Sophos Anti-Virus はリモートのマウントポイントを介さず
に、起動コンピュータのみをウイルス検索します。これはデフォルトで指定され
ています。
起動ファイルシステムのみを検索する起動ファイルシステムのみを検索する
起動ファイルシステムのみを検索する
起動ファイルシステムのみを検索する起動ファイルシステムのみを検索する
起動コンピュータのみを検索する起動コンピュータのみを検索する
起動コンピュータのみを検索する
起動コンピュータのみを検索する起動コンピュータのみを検索する
6.3 Linux と FreeBSD に特有のオプションスイッチ
以下のブートセクタ検索オプションスイッチは、Sophos Anti-Virus for Linux(Libc6)
と Sophos Anti-Virus for FreeBSD(バージョン3以降)のみで使用できます。
-bs=xxx, xxx,...
Sophos Anti-Virus は、指定した論理ドライブのブートセクタを検索します。ここ
で、xxx はドライブ名です(/dev/fd0 や /dev/hda1 など)。このオプションスイッ
チでは、フロッピーディスクドライブも論理ドライブに含めています。
指定した論理ドライブのブートセクタを検索する指定した論理ドライブのブートセクタを検索する
指定した論理ドライブのブートセクタを検索する
指定した論理ドライブのブートセクタを検索する指定した論理ドライブのブートセクタを検索する
22
このオプションスイッチを使用して、(Windows や DOS など)他の OS 用に作成
されたフロッピーディスクのブートセクタを検索することができます。
Sophos Anti-Virus UNIX ユーザーマニュアル
すべての既知ブートセクタを検索するすべての既知ブートセクタを検索する
-bs
すべての既知ブートセクタを検索する
すべての既知ブートセクタを検索するすべての既知ブートセクタを検索する
アクセスできるすべての物理ドライブから、Sophos Anti-Virus はパーティション
テーブル情報を抽出し、すべての論理ドライブのブートセクタを検索します。こ
れには、(Windows や DOS など)Linux や FreeBSD 以外のブートセクタも含ま
れます。
-cdr= CD
のブートイメージを検索するのブートイメージを検索する
のブートイメージを検索する
のブートイメージを検索するのブートイメージを検索する
これを使用すると、ブート可能な CD のブートイメージを検索できます。例:
sweep -cdr=/dev/cdrom
この場合、Sophos Anti-Virus は、デバイス /dev/cdrom にある CD のブートイメージ
(存在する場合)を検索し、ブートイメージを見つけると、そのブートセクタを
ブートセクタ感染型ウイルスに対して検索します。
ブートイメージ内にて、Sophos Anti-Virus 実行ファイルリストにある種類のファ
イルすべてをファイル感染型ウイルスに対して検索するには、オプションスイッ
チ-loopbackを使用します。例:
sweep -cdr=/dev/cdrom -loopback
この場合、Sophos Anti-Virus は、デバイス /dev/cdrom にある CD のブートイメー
ジ(存在する場合)を検索し、ブートイメージを見つけると、そのブートセクタ
をブートセクタ感染型ウイルスに対して検索し、実行ファイルリストにあるファ
イルタイプのファイルすべてをファイル感染型ウイルスに対して検索します。
-mbr
マスターブートレコードを検索するマスターブートレコードを検索する
マスターブートレコードを検索する
マスターブートレコードを検索するマスターブートレコードを検索する
Sophos Anti-Virus は、システムにあるすべての物理ドライブのマスターブートレ
コードを検索しようとします。
23
Sophos Anti-Virus UNIX ユーザーマニュアル
24
セントラルレポート
セントラルレポートの開始と監視
セントラルレポートの環境設定
セントラルレポートのレポートレベルの設定
Sophos Anti-Virus UNIX ユーザーマニュアル
7 セントラルレポートの開始と監視
InterCheck サーバーをインストールした場合、ネットワーク上の Windows クライ
アントマシンはサーバーにウイルスレポートを送信することができます。
使用されるディレクトリはデフォルトで /var/spool/intercheck です。
/var/spool/intercheck は、InterCheck を実行している UNIX 以外のクライア
ントマシンがアクセス可能な、エクスポートされたディレクトリであることが必
要です。これには、infected と comms という2つのサブディレクトリがあり、
共にユーザーかつグループsweepが所有者になっています。infected の
パーミッションは0700で、comms のパーミッションは1777です。
この項では、以下の方法について説明します。
! InterCheck サーバーの開始
! InterCheck サーバーの停止
! InterCheck サーバー活動の監視
26
7.1 InterCheck サーバーの開始
InterCheck サーバーを初めてインストールした場合、あるいはシャットダウンさ
れている場合は、以下のように入力して開始します。
icheckd
以下のオプションはコマンド icheckd と使用できます:
-d
デーモンとして実行します(デフォルト、かつ推奨モード)。
-nd
デーモンとして実行しません。InterCheck サーバーは画面の最前面で実行され、
すべてのログ情報は画面に表示されます。
Sophos Anti-Virus UNIX ユーザーマニュアル
ファイル名ファイル名
-c
ファイル名
ファイル名ファイル名
使用する環境設定ファイルを指定します。デフォルトは、/etc/icheckd.conf です。
-h
使用状況を表示します。
InterCheck サーバーが開始すると、環境設定ファイルを作成していない限りデ
フォルトの環境設定で実行されます。(8項)
InterCheck サーバーに SIGHUP シグナルを送ると、InterCheck サーバーを停止・
再開始できます。
7.2 InterCheck サーバーの停止
InterCheck サーバーを停止するには、以下を入力します。
icheckd -stop
7.3 InterCheck サーバーの監視
InterCheck サーバーを監視するには、以下のファイルを参照します。
sweepic.res
ファイルには、InterCheck サーバー活動の統計と詳細があります。
デフォルトの場所:/var/spool/intercheck/comms
ファイル sweepic.res にあるデータは未処理なので、統計内容をわかりやすくする
には、このファイルを処理するスクリプトを作成してください。
27
Sophos Anti-Virus UNIX ユーザーマニュアル
8 セントラルレポートの環境設定
InterCheck サーバーが使用する設定を変更する場合は、/etc/icheckd.conf という環
境設定ファイルを設定し、8.1項にあるパラメータを入力します。環境設定ファイ
ルの例は8.2項をご覧ください。
InterCheck サーバーは、起動するたびに設定情報をこのファイルから読み取ります。
InterCheck サーバーが新しい設定内容を直ちに使用するようにする場合は、
SIGHUP シグナルを送ってください。(または7項の指示に従って、InterCheck
サーバーを停止・開始してください。)
8.1 InterCheck サーバー環境設定オプション
以下の環境設定オプションがあります:
EmailCmd=<
このオプションは、ウイルス発見時やファイルシステムの空き容量がなくなりそ
うな時、ユーザーにメールを送信するために使用するメールプログラムを指定し
ます。
このオプション(または EmailRecipient)で何も指定しないと、メールは送信さ
れません。例:
EmailCmd=
デフォルトのメールプログラムは /bin/mail です。
EmailLevel=<
このオプションは、ウイルス発見時やファイルシステムの空き容量がなくなりそ
うな時にユーザーにメールを送信する、最低のレポートレベルを指定します。
レポートレベルの詳細と設定方法は9 項をご覧ください。
メールレベルがレポートレベルより低いまたは同じでない限り(例:レポートレ
ベルがVIRUS(または 2)でメールレベルがINFORMATION(または 5)
の場合)、メールは送信されません。
ストリングストリング
ストリング>
ストリングストリング
数値数値
数値>
数値数値
28
デフォルトは 0 で、常にメールが送信されます。
Sophos Anti-Virus UNIX ユーザーマニュアル
EmailCmd=<
このオプションは、ウイルス発見時やファイルシステムの空き容量がなくなりそ
うな時に送信するメールの受信ユーザーを指定します。
このオプションや EmailCmd で何も指定しないとメールは送信されません。例:
EmailRecipient=
デフォルトユーザー名はsweepです。
LogFacility=<
このオプションは、情報をログする際に使用する syslog 機能を指定します。指定
できる syslog 機能は、デーモン、local 0、local 1... local 7 などです。
デフォルトはデーモンです。
Rootdirectory=<
このオプションは、InterCheck サーバーのルートディレクトリ名を指定するため
に使用します。ディレクトリ comms と infected はこのルートディレクトリにあ
り、ディスクレスクライアントにインストールする際のディレクトリ lists もここ
にあります。
ストリングストリング
ストリング>
ストリングストリング
ストリングストリング
ストリング>
ストリングストリング
ストリングストリング
ストリング>
ストリングストリング
デフォルトでは /var/spool/intercheck です。
8.2 環境設定ファイルの例
以下は環境設定ファイルの例です:
RootDirectory=/var/spool/intercheck
EmailRecipient=sysadmin
EmailCmd=/bin/mail
29
Sophos Anti-Virus UNIX ユーザーマニュアル
9 セントラルレポートのレポートレベルの設定
InterCheck サーバーはデーモンとして実行されるので、レポート情報は UNIX の
syslog 機能によって返されます。
InterCheck サーバーが UNIX syslog にレポートするイベントのレベルを変更する場
合は、以下のファイルを開き、
sweepic.ini
以下のフィールドを編集してください。
Reporting Level =
デフォルトでファイル sweepic.ini はディレクトリ /var/spool/intercheck/comms に
あります。
レポートレベルには、NONE(レポートなし)からVERBOSE(詳細レ
ポート)まであります。VERBOSEレベルでは検索されたすべてのファイルの
詳細がログされます。ウイルスに関する情報をログする場合は、最低VIRUS
レベルの指定が必要です。
レポートレベルを直接指定した場合、各レベルはストリングでなく、数値(0 から
6)として表示されます。詳細は、9.1項をご覧ください。
レポートレベルが高い場合、ログファイルが急速にいっぱいになることが考えら
れるので、ファイルシステムの空き容量がなくなりそうかを調べ、随時、空き容
量を確保してください。ファイルシステムの空き容量がなくなりそうな場合、
InterCheck は(メールで)警告を送信しますが、あらかじめ空き容量を確保して
おくのが賢明です。
デフォルトのレポートレベルはVIRUSです。
30
9.1 レポートレベルと UNIX ログレベル
レポートレベルと UNIX ログレベルは次のように対応します。
Sophos Anti-Virus UNIX ユーザーマニュアル
レポートレベルレポートレベル
レポートレベル UNIX
レポートレベルレポートレベル
NONE(または 0) 該当なし
FATAL(または 1) LOG_CRIT
VIRUS(または 2) LOG_CRIT
ERROR(または 3) LOG_ERR
WARNING(または 4) LOG_WARNING
INFORMATION(または 5) LOG_INFO
VERBOSE(または 6) LOG_NOTICE
UNIX のバージョンによっては、以下のような記述文を syslog 環境設定ファイル
(通常、/etc/syslog.conf)に含めることで、InterCheck からレポート情報を送るこ
とが可能になる場合があります:
daemon.notice /var/log/daemon
もちろん、syslog 環境設定ファイルに、既にこれと同様の記述がある場合も考え
られます。
ログレベルログレベル
ログレベル
ログレベルログレベル
レポート情報の送信先ファイル名は、システムやユーザーの好み・要求に応じて
異なります。
また、/etc/icheckd.conf でLogFacilityオプションを使用して、syslog 機能をデ
フォルト設定のデーモンから別の値に変更することもできます。
レポート情報のレベルは、以下のいずれか1 つ、あるいは両方によって制限され
ることにご注意ください。
! InterCheck レポートレベル(上記参照)
! 環境設定ファイルで指定したレポートレベル(8.1項)
システムログやシステムログファイルについての詳細は、ご使用のシステムマ
ニュアルをご覧ください。
31
Sophos Anti-Virus UNIX ユーザーマニュアル
32
トラブルシューティング
Sophos Anti-Virus UNIX ユーザーマニュアル
10 トラブルシューティング
この項では、Sophos Anti-Virus for UNIX を使用する際、起こりうる問題について検討
します。(Sophos Anti-Virus for UNIX エラーコードの詳細は4項をご覧ください。)
発生した問題に関する説明がここにない場合は、ソフォス Web サイト
(www.sophos.co.jp) にて、よくある質問(FAQ)、ウイルス解析情報、最新の
ウイルス定義ファイル、製品ダウンロード、技術資料などをご覧ください。
Web サイトにも説明がない場合は、ソフォステクニカルサポートまでお問い合わ
せください。
10.1 「見つかりません」または「ライブラリをロードできません」と
システムが報告する
Sophos Anti-Virus を実行しようとした際、システムがこのいずれかのメッセージ
を返した場合は、システム設定を変更する必要があると考えられます。また、ロ
グインスクリプトやプロファイル内の環境変数に、Sophos Anti-Virus が使用する
ディレクトリが含まれるようにしてください。
! PATH に /usr/local/bin が含まれるようにする
! MANPATH に /usr/local/manが含まれるようにする
! LD_LIBRARY_PATH に /usr/local/lib が含まれるようにする
AIX でライブラリ環境変数は LIBPATH で、HPUX では SHLIB_PATH です。
FreeBSD や Linux などのシステムでは、ldconfig を実行して、Sophos Anti-Virus が
Sophos Anti-Virus 共有ライブラリを使用するようにできます。これには
/etc/ld.so.conf の編集が必要になる場合があります。
いずれかの設定が含まれていない場合は、以下の例のように、それを各環境変数
に追加してください。なお、既存の設定には変更を加えないようにしてください。
シェル、シェル、
sh
シェル、ksh
シェル、シェル、
します:
PATH=$PATH:/usr/local/bin
export PATH
LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/lib
export LD_LIBRARY_PATH
シェル、またはシェル、または
シェル、または bash
シェル、またはシェル、または
シェルを実行している場合シェルを実行している場合
シェルを実行している場合は、以下を入力
シェルを実行している場合シェルを実行している場合
34
Sophos Anti-Virus UNIX ユーザーマニュアル
シェルやシェルや
csh
シェルや tcsh
シェルやシェルや
setenv PATH [値] :/usr/local/bin
setenv LD_LIBRARY_PATH [値] :/usr/local/lib
ここで [値] は、既存の設定値です。
/etc/login や /etc/profile を編集して、システム全体にこれらの設定を反
映させるようにしてください。
ログインスクリプトが
再指定する必要があります。
シェルを実行している場合シェルを実行している場合
シェルを実行している場合は、以下を入力します。
シェルを実行している場合シェルを実行している場合
ないない
ない場合は、サーバーを再起動するたびに、これらの値を
ないない
10.2 Sophos Anti-Virus のディスク容量が足りなくなる
これは、複合圧縮ファイルをウイルス検索する際に起こることが考えられます。
圧縮ファイルを解凍する際、Sophos Anti-Virus は検索結果を /tmp ディレクトリに
保存します。このディレクトリの容量が大きくない場合、ディスク容量が足りな
くなることが考えられます。また、Sophos Anti-Virus が各ユーザーのディスク容
量を越えた場合もこの問題が起こることが考えられます。
これは、/tmp の容量やユーザーのディスク容量を増やすことによって解決できま
す。または、環境変数 SAV_TMP を設定して、Sophos Anti-Virus が検索結果を保
存するディレクトリを変更してください。
10.3 検索スピードが遅い
フルモード検索で作動しているフルモード検索で作動している
フルモード検索で作動している
フルモード検索で作動しているフルモード検索で作動している
デフォルトで Sophos Anti-Virus は、クイックモード検索を行い、ウイルスが
存在する可能性のある部分のみを検索します。一方、フルモード検索が指定
されている場合、全アイテムを検索し、検索にはより時間がかかります。
6.1項にある-fオプションをご覧ください。
フルモード検索は一部のウイルスを検出する際に必要ですが、ソフォステクニカフルモード検索は一部のウイルスを検出する際に必要ですが、ソフォステクニカ
フルモード検索は一部のウイルスを検出する際に必要ですが、ソフォステクニカ
フルモード検索は一部のウイルスを検出する際に必要ですが、ソフォステクニカフルモード検索は一部のウイルスを検出する際に必要ですが、ソフォステクニカ
ルサポートからの指示があった場合など、状況に応じてのみ有効にするようにしルサポートからの指示があった場合など、状況に応じてのみ有効にするようにし
ルサポートからの指示があった場合など、状況に応じてのみ有効にするようにし
ルサポートからの指示があった場合など、状況に応じてのみ有効にするようにしルサポートからの指示があった場合など、状況に応じてのみ有効にするようにし
てください。てください。
てください。
てください。てください。
すべてのファイルをウイルス検索しているすべてのファイルをウイルス検索している
すべてのファイルをウイルス検索している
すべてのファイルをウイルス検索しているすべてのファイルをウイルス検索している
デフォルトで Sophos Anti-Virus は、実行ファイルとして定義されたファイルのみを検索
します。すべてのファイルを検索する設定になっていると、より時間がかかります。
実行ファイルの他に、特定の拡張子を持つファイルを検索する場合は、その拡張子を
Sophos Anti-Virus が実行ファイルとして定義する拡張子のリストに追加してください。
6.1項にあるオプションスイッチ-allおよび-ext=をご覧ください。
35
Sophos Anti-Virus UNIX ユーザーマニュアル
10.4 検索済みファイルすべてをアーカイバがバックアップする
Sophos Anti-Virus が検索したファイルすべてを、常にアーカイバがバックアップ
してしまう場合があります。これは、Sophos Anti-Virus がファイルのステータス
変更時刻(ctime)に変更を加えるために起きるものです。
デフォルトで Sophos Anti-Virus は、ファイルのアクセスタイム(atime)をウイル
ス検索前の時刻にリセットしようとしますが、これは、i ノードのステータス変更
時刻(ctime)を変更することに相当します。アーカイバがファイルの変更を
ctime によって判断している場合、Sophos Anti-Virus が検索したファイルすべてを
アーカイバがバックアップすることになります。
このようなバックアップを禁止するには、オプションスイッチ--no-reset-atime
を使用して sweep コマンドを実行してください。
10.5 InterCheck サーバーがシステムログに何も情報を記録しない
InterCheck サーバーが syslog 情報を作成しない場合には以下の理由が考えられます。
InterCheck
icheckdを grep し、ps コマンドを使用して作動中のプロセスの一覧を表示し
てください。InterCheck サーバーが稼動していない場合は、7項の指示に従ってそ
れを起動してください。
レポートレベルの設定が低すぎるレポートレベルの設定が低すぎる
レポートレベルの設定が低すぎる
レポートレベルの設定が低すぎるレポートレベルの設定が低すぎる
デフォルトのレポートレベルはVIRUSで、ウイルス警告と致命的エラーのみ
が syslog に記録されます。レポートレベルがNONEに設定されると、何も
メッセージは記録されません。一般に、設定されたレポートレベルが低すぎる
と、InterCheck サーバーが syslog 情報の作成に失敗することが考えられます。詳細
は9項をご覧ください。
Syslog
Syslog 環境設定ファイルは、InterCheck サーバーログメッセージの送信先を指定
し、一定以上のレベルのメッセージを指定する必要があります。7 項をご覧くだ
さい。
サーバーが稼動していないサーバーが稼動していない
サーバーが稼動していない
サーバーが稼動していないサーバーが稼動していない
環境設定ファイルが正しく設定されていない環境設定ファイルが正しく設定されていない
環境設定ファイルが正しく設定されていない
環境設定ファイルが正しく設定されていない環境設定ファイルが正しく設定されていない
36
システムログファイルがいっぱいであるシステムログファイルがいっぱいである
システムログファイルがいっぱいである
システムログファイルがいっぱいであるシステムログファイルがいっぱいである
システムログファイルがいっぱいのため、ファイルシステムに空き容量がなくな
ることが考えられます。これによって InterCheck サーバーが正常に作動しなくな
る恐れがあり、システムログも作動しなくなることが考えられます。
10.6 ウイルスフラグメントが報告される
ウイルスフラグメントが報告された場合は、ソフォステクニカルサポートに対処
方法についてお問い合わせください。
ウイルスフラグメントの報告は、ファイルにウイルスコードの一部と一致する部
分があることを指します。これには以下のような3 通りの原因が考えられます。
既知ウイルスの亜種である既知ウイルスの亜種である
既知ウイルスの亜種である
既知ウイルスの亜種である既知ウイルスの亜種である
新種のウイルスの多くは既知ウイルスを基にしたものなので、既知ウイルスの典
型的なコードの一部が、新種ウイルスに感染したファイルに発見されることがあり
ます。ウイルスフラグメントが報告された場合、Sophos Anti-Virus が新種のウイル
スを検出した可能性があり、このウイルスはアクティブになることがありえます。
ウイルスが壊れているウイルスが壊れている
ウイルスが壊れている
ウイルスが壊れているウイルスが壊れている
Sophos Anti-Virus UNIX ユーザーマニュアル
増殖のルーチンにバグのあるウイルスが多いため、目的のファイルへの感染
が正しくできないことがあります。このような場合、ウイルス本体の一部(ウイ
ルスの主要部分の可能性あり)だけがファイルの中に現れることがあり、Sophos
Anti-Virus はそれを検出します。壊れたウイルスは蔓延できません。
ウイルスを含むデータベースウイルスを含むデータベース
ウイルスを含むデータベース
ウイルスを含むデータベースウイルスを含むデータベース
フルモード検索を実行すると、データベースファイル内にウイルスフラグメント
があることを Sophos Anti-Virus が報告する場合があります。
37
Sophos Anti-Virus UNIX ユーザーマニュアル
38
補足
Sophos Anti-Virus のアンインストール
Sophos Anti-Virus UNIX ユーザーマニュアル
補足1Sophos Anti-Virus のアンインストール
サーバーから Sophos Anti-Virus をアンインストールする場合は、次の操作を行っ
てください。
1. ルート権限のあるユーザー、あるいはスーパーユーザーとしてサーバーにログオ
ンしていることを確認します。
2. /usr/local/bin で、以下を削除します。
sweep
icheckd
3. /usr/local/lib で、以下を削除します。
libsavi.so*
4. /usr/local/man で、以下を削除します。
icheckd.1
icheckd.conf.5
sweep.1
5. 以下を削除します。
/tmp/sav-install
/usr/local/sav
6. サーバーに接続しているクライアントマシンに Sophos Anti-Virus をインストール
した場合は、サーバーに作成した InterChk 共有ディレクトリを削除してください。
7. InterCheck サーバーもインストールした場合は、以下を削除します。
/var/spool/intercheck
これで、サーバーから Sophos Anti-Virus をアンインストールできました。
40
用語集と索引
Sophos Anti-Virus UNIX ユーザーマニュアル
用語集
CID セントラルインストールディレクトリ:ネットワーク上
にある、Sophos Anti-Virus のインストール/アップデート
元。各 OS 専用の CID を作成し、常に最新版がインス
トールされているようにしてください。
IDE ウイルス ID ファイル:特定のウイルス検出するために
Sophos Anti-Virus が使用するデータを含むファイルです。
最新のウイルスに対する保護を提供できるよう、IDE ファ
イルは月次アップデート時以外にリリースされます。IDE
ファイルは月次アップデートにとって代わるものではあ
りません。
InterCheck/ Sophos Anti-Virus のコンポーネントで、ファイルがアク
InterCheck
InterCheck
sweep Sophos Anti-Virus のコンポーネントで、イミディエート
Syslog デーモンからのメッセージなど、システムメッセージを
VDL Virus Description Language(ウイルス記述言語):ウイルスの
クライアントクライアント
クライアント
クライアントクライアント
サーバーサーバー
サーバー Sophos Anti-Virus のコンポーネントで、クライアントマ
サーバーサーバー
セスされるたびに割り込み、チェックサムを使用してウ
イルス検索が必要かを判断。UNIX コンピュータには該当
しません。
シンがサーバーにウイルス警告を送信できるようにする
もの。
モード、スケジュールモードでウイルス検索を行うもの。
ログする機能。デーモンを参照。
特徴をアルゴリズムで表現するソフォス独自開発の言語。
イミディエートモード検索イミディエートモード検索
イミディエートモード検索 ユーザーが開始するウイルス検索。検索対象アイテム、
イミディエートモード検索イミディエートモード検索
検索方法、ウイルス発見時の対処方法を環境設定するこ
とが可能です。
ウイルスウイルス
ウイルス 自身を(マクロやブートセクタなどの)他のプログラム
ウイルスウイルス
にコピーして、コンピュータやネットワークで蔓延する
コンピュータプログラム。
42
Sophos Anti-Virus UNIX ユーザーマニュアル
ウイルスウイルス
ウイルス ID IDE を参照。
ウイルスウイルス
クイックモード検索クイックモード検索
クイックモード検索 デフォルトの検索モード。Sophos Anti-Virus は実行コー
クイックモード検索クイックモード検索
ドを含む可能性のある部分のファイルのみ検索します。
実行ファイル実行ファイル
実行ファイル Sophos Anti-Virus は、デフォルトで(フルモード検索が指
実行ファイル実行ファイル
定されている場合でも)実行ファイルと定義されているも
ののみを検索します。すべてのファイルの検索、実行ファ
イルと定義されているファイルのリストの変更、UNIX が
実行ファイルと定義するファイルすべての検索などを環境
設定することができます。 6.1項、6.2項をご覧ください。
シンボリックリンクシンボリックリンク
シンボリックリンク 他のファイルシステムやコンピュータ上の、ファイルや
シンボリックリンクシンボリックリンク
ディレクトリへのリンク。
セントラルインストールセントラルインストール
セントラルインストール CID を参照。
セントラルインストールセントラルインストール
ディレクトリディレクトリ
ディレクトリ
ディレクトリディレクトリ
チェックサムチェックサム
チェックサム データより算出される値。InterCheck はコンピュータに
チェックサムチェックサム
ファイルのチェックサムリストを作成し、特定のファイ
ルのチェックサムが変更していることがわかった場合、
ウイルス感染の可能性があるので検索用に送信します。
デーモンデーモン
デーモン バックグラウンドで(つまりユーザー操作に依存せず)
デーモンデーモン
実行されるプロセス。端末からの入力や端末への出力な
しで行われます。
トロイの木馬トロイの木馬
トロイの木馬 ユーザーが予期せぬ、有害な副作用を起こすコンピュータ
トロイの木馬トロイの木馬
プログラム。トロイの木馬のプログラムは、通常の機能を
持つかのように見せかけて、ユーザーをだまします。バッ
クドアトロイの木馬は、インターネットを介して他人が
ユーザーのコンピュータを制御できるようにします。
ブートセクタブートセクタ
ブートセクタ コンピュータに電源を入れた(ブートした)際、ディス
ブートセクタブートセクタ
クからメモリに最初に読み込まれる部分の OS。この後
ブートセクタに保存されているプログラムが実行され、
今度はそれによって、残りの OS をディスク上のシステ
ムファイルからメモリにロードします。
43
Sophos Anti-Virus UNIX ユーザーマニュアル
ブートセクタ感染型ウイルスブートセクタ感染型ウイルス
ブートセクタ感染型ウイルス ブート過程の初期段階を破壊するコンピュータウイル
ブートセクタ感染型ウイルスブートセクタ感染型ウイルス
ス。ブートセクタ感染型ウイルスはマスターブートセク
タか DOS ブートセクタに感染します。
フルモード検索フルモード検索
フルモード検索 フルモード検索を指定すると、Sophos Anti-Virus はすべて
フルモード検索フルモード検索
のファイルにおいて、検索するよう設定されたエリア全部
分を検索します。フルモード検索はクイックモード検索よ
りかなり時間がかかりますが、検出するためにこの種の検
索が必要となるウイルスもあります。6.1項を参照。
マウントポイントマウントポイント
マウントポイント 同じコンピュータの他のファイルシステム上のアイテム
マウントポイントマウントポイント
に、ユーザーには見えないリンクがある場所。シンボ
リックリンクを参照。
マクロウイルスマクロウイルス
マクロウイルス データファイル内のマクロを使用して、メモリ内でアク
マクロウイルスマクロウイルス
ティブになり、他のデータファイルに自らをコピーする
ウイルス。他のウイルスと異なり、ある程度の範囲でプ
ラットフォームに依存せずに活動することもできます。
マスターブートセクタマスターブートセクタ
マスターブートセクタ ハードディスクの第一物理セクタ(セクタ1、ヘッド0、ト
マスターブートセクタマスターブートセクタ
ラック0)で、コンピュータの電源を入れた(ブートした)
際にロードされ、実行されるもの。パーティションテーブ
ル、およびアクティブなパーティションのブートセクタを
ロード、かつ実行するためのコードを含んでいます。
リモートマウントポイントリモートマウントポイント
リモートマウントポイント リモートコンピュータのファイルシステム上のアイテム
リモートマウントポイントリモートマウントポイント
にユーザーには見えないリンクがある場所。シンボリッ
クリンクを参照。
ワームワーム
ワーム キャリアとなるプログラムを必要とせずに複製できるウ
ワームワーム
イルスの一種。ワームは自身を複製し、(メールプログ
ラムなど)コンピュータ間の通信を使用して蔓延します。
44
索引
C
Sophos Anti-Virus UNIX ユーザーマニュアル
ウウ
ウ
ウウ
CD のブートイメージ 23
I
icheckd.conf 28
IDE
別のディレクトリを指定 18
InterCheck サーバー
開始 27
環境設定 28-29
監視 27
停止 27
レポートレベル 30-31
M
MIME ファイル - 検索 18
S
Sophos Anti-Virus のアンインストール 40
SWEEP
オプションスイッチ 16
sweepic.ini 30
ウイルス
駆除 9-10
クライアントマシンがレポート 26-27
警告 7
検索 6-7
フラグメントの報告 37
エエ
エ
エエ
エラーコード 11
拡張 17
オオ
オ
オオ
オプションスイッチ 20
カカ
カ
カカ
隔離 21
画面への出力、ファイル/ デバイスにコピー 19
環境設定 14-15
感染アイテム
駆除 9, 17
削除 19
U
UNIX 実行ファイル
検索 20
W
Windows/DOS 実行ファイル
検索から除外 18
検索用に指定 18
Z
Zip bomb 18
アア
ア
アア
圧縮ファイル
検索 14, 16, 20
クク
ク
クク
駆除 9-10
-di オプションスイッチ 17
確認メッセージの表示 17
データファイル 9-11
プログラム 9
繰り返し検索 19
ケケ
ケ
ケケ
検索 6-7
CD のブートイメージ 23
MIME ファイル 18
アイテムの除外 17
圧縮ファイル 14, 16, 20
オプション 14
起動ファイルシステムのみ 15
繰り返し 19
45
Sophos Anti-Virus UNIX ユーザーマニュアル
検索スピードが遅い 35
ディレクトリやファイル 6
デフォルト設定 6
特別なオブジェクト 22
ブートセクタ 7
ファイルシステム 6
ファイル全種類 14
フルモード検索 18
メールボックス 19
ローカルコンピュータ 6
検索済みファイルのバックアップ 36
シシ
シ
シシ
実行ファイル
UNIX 20
Windows/DOS 18
シンボリックリンクが指定するアイテム
検索 21
セセ
セ
セセ
フフ
フ
フフ
ブートイメージ - CD 23
ブートセクタ
検索 7
ファイルシステム
検索 6
起動ファイルシステムのみの検索 15
フルモード検索 18
メメ
メ
メメ
メールボックスの検索 19
ララ
ラ
ララ
ライブラリをロードできません(メッセージ) 34
レレ
レ
レレ
レポートレベル 30-31
セントラルウイルスレポート
開始 26
環境設定 28-29
監視 27
停止 27
レベル 31
レポートレベル 30-31
テテ
テ
テテ
ディスク容量不足 35
トト
ト
トト
特別なオブジェクト
検索から除外 22
ハハ
ハ
ハハ
バックトラッキング
防止 20
情報を保存 21
46
テクニカルサポート
テクニカルサポートに関する情報は、次の URL をご覧ください。
www.sophos.co.jp/support
テクニカルサポートにご連絡される場合は、ソフォス製品のバージョン番号、OS
環境、適用パッチレベル、エラーメッセージの正確な内容など、なるべく多くの
情報をご提供いただきますようお願い申し上げます。
Sophos Anti-Virus UNIX ユーザーマニュアル
Copyright 2005, 2006 Sophos Group. All rights reserved. この出版物の一部または全部を、
電子的、機械的な方法、写真複写、録音、その他いかなる形や方法においても、使用許諾
契約の条項に準じてドキュメントを複製することが許可されている、もしくは著作権所有
者からの事前の書面による許可がある場合以外、無断に複製、復元できるシステムに保存、
または送信することを禁じます。
Sophos および Sophos Anti-Virus は、Sophos Plc および Sophos Group の登録商標です。
その他記載されている、会社名、製品名は、各社の登録商標または商標です。
47
Loading...