« McAfee VirusScanアップデート | トップページ | McAfee VirusScanアップデート(3) »

McAfee VirusScanアップデート(2)

McAfee VirusScanの最新版(Ver9.0.10)でウィルスメールの受信テストを行った。

結論から言うとメール受信時のメールクライアントのセッション持ちきり問題は解消されている。

ウィルスはテスト用のeicar圧縮ファイルを利用。
まずeicar未圧縮ファイルはダウンロードすれば当然引っかかる。
eicar1.png

上記のように未圧縮のウィルスはきちんと引っかかる。

eicar圧縮ファイルはダウンロードに成功してしまう(ダウンロード時に圧縮ファイルも検査するようには変えられない)。
ただし圧縮ファイルからファイルを取り出そうとすると当然引っかかるので問題はない。

次にこのファイルをメールで受信する。
すると、
eicar21.png
という感じでウィルスが除去される。(この間メールクライアントはセッションを張ったまま)
つまりメールに関しては圧縮ファイルの中も検査している。
McAfeeのオプション設定を推奨にするとこのダイアログはまったく出ずに自動で削除される。

その後、メールクライアントは受信を終了する。
受信されたメールにはテキストの添付ファイルがくっついていてその内容は以下のとおり。

           
ファイル名:McAfee_EmailScanReport.txt

       ****************** McAfee VirusScan************************
        ******* Wed, 13 Oct 2004 23:16:57 +0900 で警告が生成されました*********
        *********************************************************************

        McAfee VirusScan により、<***@****.****.***>
        が送信したこの E メールから悪意のある脅威が検出されました。
        各感染部分に次のアクションが実行されました。
        <***@****.**.jp> にこのウイルス関連アクティビティを報告することを強くお勧めします。
       

        添付ファイル "eicarcom2.zip" は EICAR test file ウイルスに感染しています。
        この添付ファイルは隔離されました。

        添付ファイル "eicar_com.zip" は EICAR test file ウイルスに感染しています。
        この添付ファイルは隔離されました。

       

という具合。

ちなみに送信時もチェックされる。(送信時も圧縮ファイル内を検査している)
その場合は(McAfeeプロセスから)妙な日本語で送信時に添付を削除した旨メールが来る。


ではプログラムがどうなっているのかチェック。

メールクライアント(Becky2)がPOP3で受信を開始すると以下のようになる。

                                                                                                                                                                                               
Proto Local Address Foreign Address State PID
TCP 127.0.0.1:1802 127.0.0.1:1803 ESTABLISHED 2032
TCP 127.0.0.1:1803 127.0.0.1:1802 ESTABLISHED 1156
TCP 自ホストのIP:1801 メールサーバIP:110 ESTABLISHED 2032

最後の数値はPID。PIDを調査すると、
   2032 = McVSEscn.exe
   1156 = B2.exe
である。

つまりどういうことかというと、

eicar30.png
(ポート番号の1801~1803は動的に変更になる、はず)

という関係になっており、Beckyとメールサーバの間でMcAfeeが添付ファイルを削除して代わりに警告メールをつけている、と言う形になっているようだ。

|

« McAfee VirusScanアップデート | トップページ | McAfee VirusScanアップデート(3) »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/2371/1673818

この記事へのトラックバック一覧です: McAfee VirusScanアップデート(2):

« McAfee VirusScanアップデート | トップページ | McAfee VirusScanアップデート(3) »