none
priv1.stmファイルでのウイルス検知について RRS feed

  • 質問

  •  

    表題の通りpriv1.stmファイルにてウイルス(トロイの木馬)を検知し
    ウイルス対策ソフトウェアにて駆除、隔離ともできず苦慮しております。

    STMファイルはOutlook以外で作成されたメールの添付ファイルと認識しており、
    ウイルスに感染したのはその中の一部のファイルであると考えております。

    今後、どのような対応方法が考えられるのでしょうか。

    STMファイル内に格納された特定の添付ファイルのみ削除する事は可能でしょうか。


    利用環境は以下の通りとなります。

    OS:Microsoft Windows Server 2003 Standard Edition (Service Pack 1)

    ウイルス対策:TrendMicro InterScan for Exchange Server


    アドバイスをいただきたくお願い致します。

    2010年11月30日 8:56

回答

  • Outlook で作成したメールであっても、POP クライアントで読むだけで変換されたメッセージ (添付ファイルだけではなく) が STM に格納されます。

    Exchange Server 2003 パフォーマンスのチューニング
    http://technet.microsoft.com/ja-jp/library/bb124129(EXCHG.65).aspx

    ※「クライアントごとに使用される記憶場所」という表を見てください。

    件名や添付ファイル名などの条件がわかっていれば削除する方法はあります。

    [HOWTO] ExMerge.exe ツールを使用して、ウイルスに感染したメッセージをメールボックスから削除する
    http://support.microsoft.com/kb/328202/ja

    STM に含まれるコンテンツは必要に応じて再変換されるので、原理的には一旦クリアすることができます。

    次の KB (コミュニティ作成) に STM を再作成する方法がまとめられていますが、書いてあるように「最後の手段」であることには注意してください。

    How to re-create STM File in Exchange 2000/2003
    http://support.microsoft.com/kb/555146/en-us

    オフラインバックアップも含め、可能な限りの手段でバックアップを取ってから実施したほうがいいでしょう。

    Exchange のオフライン バックアップと復元処理
    http://support.microsoft.com/kb/296788/ja

    Exchange (VSAPI) 用のウイルス対策のみ使用ということですが、STM ファイルで検出されたということから、ファイルレベルのウイルス対策ソフトウェアを使用しているのではないかと思います。ファイルレベルのウイルス対策ソフトウェアは適切に設定しておかないと、データベースがマウント解除されることもあるので気をつけて設定してください。

    Exchange Server 2003 とウイルス対策ソフトウェアの概要
    http://support.microsoft.com/kb/823166/ja

    カレント ログ欠損によるデータベース ディスマウントについて
    http://blogs.technet.com/b/exchangeteamjp/archive/2010/10/07/3360522.aspx

    • 回答としてマーク 星 睦美 2010年12月6日 6:58
    2010年11月30日 14:58

すべての返信

  • Outlook で作成したメールであっても、POP クライアントで読むだけで変換されたメッセージ (添付ファイルだけではなく) が STM に格納されます。

    Exchange Server 2003 パフォーマンスのチューニング
    http://technet.microsoft.com/ja-jp/library/bb124129(EXCHG.65).aspx

    ※「クライアントごとに使用される記憶場所」という表を見てください。

    件名や添付ファイル名などの条件がわかっていれば削除する方法はあります。

    [HOWTO] ExMerge.exe ツールを使用して、ウイルスに感染したメッセージをメールボックスから削除する
    http://support.microsoft.com/kb/328202/ja

    STM に含まれるコンテンツは必要に応じて再変換されるので、原理的には一旦クリアすることができます。

    次の KB (コミュニティ作成) に STM を再作成する方法がまとめられていますが、書いてあるように「最後の手段」であることには注意してください。

    How to re-create STM File in Exchange 2000/2003
    http://support.microsoft.com/kb/555146/en-us

    オフラインバックアップも含め、可能な限りの手段でバックアップを取ってから実施したほうがいいでしょう。

    Exchange のオフライン バックアップと復元処理
    http://support.microsoft.com/kb/296788/ja

    Exchange (VSAPI) 用のウイルス対策のみ使用ということですが、STM ファイルで検出されたということから、ファイルレベルのウイルス対策ソフトウェアを使用しているのではないかと思います。ファイルレベルのウイルス対策ソフトウェアは適切に設定しておかないと、データベースがマウント解除されることもあるので気をつけて設定してください。

    Exchange Server 2003 とウイルス対策ソフトウェアの概要
    http://support.microsoft.com/kb/823166/ja

    カレント ログ欠損によるデータベース ディスマウントについて
    http://blogs.technet.com/b/exchangeteamjp/archive/2010/10/07/3360522.aspx

    • 回答としてマーク 星 睦美 2010年12月6日 6:58
    2010年11月30日 14:58
  • Toshiyuki Nakatani様

    ご丁寧なご回答有難うございました。

    翌日になって再度ウイルススキャンをかけてみたところ

    ウイルスを検知しませんでした。

    クライアント側のメーラー側で削除されたのかもしれません。。。

    原因は分かりませんがウイルスは見つからなくなったようなので

    このままで様子をみたいと考えます。

     

    どうも有難うございました。

     

    2010年12月3日 12:42
  • カドワキ さん、こんにちは
    フォーラム オペレーターの星 睦美です。

    結果のお知らせ、ありがとうございます。もし何かありましたら、Toshiyuki Nakatani さんからの返信をもとに
    調査いただければと思います。

    同様の情報をお探しの方にも回答が役立つのではないかと思いますので、今回は私のほうで
    [回答としてマーク] をさせていただきました。

    それでは
    今後ともTechNet フォーラムをよろしくお願いします。


    マイクロソフト株式会社 フォーラム オペレーター 星 睦美
    2010年12月6日 6:58