Author Topic: AVASTで対応できる脅威の範囲、或いは事後的な対応に関して。  (Read 9667 times)

0 Members and 1 Guest are viewing this topic.

Offline echos

  • Jr. Member
  • **
  • Posts: 62
年の瀬に失礼します。お忙しい中、申し訳ありません。
先日なのですが、サブPC使用中に見たことのないエラーメッセージに遭遇し、その際AVASTはちゃんと起動していたのですが、敏感な(?)メッセージに思えたため、このままPCを使い続けていいのか、また、AVASTで対応できたのか、悩んでいます。
些細なことかもしれませんが、お知恵を拝借できれば幸いです。

日本語で検索して引っ掛かった場所がエラーログを調べている人のブログや、あとは別のウイルスソフトでのスキャンなどでやり取りされているフォーラムのページだったため、後者で若干不安になったこともあります。

エラーメッセージは以下のようなものです。

「svchost.exe」「システム エラー このアプリケーションで、スタック ベースのバッファーのオーバーランが検出されました。このオーバーランにより、悪質なユーザーがこのアプリケーションを制御できるようになる可能性があります。」

日本語で検索して出てくるのはエラーメッセージを集めているサイトか、あとはエラーコードで触れているサイトさんだけで、マイクロソフトにも該当の項目はないようでした(探し方が悪いだけかもしれません)。

あくまでWINDOWSのポップアップであり、AVASTからの警告ではないと思います。
(なんらかの詐欺メッセージでもないと思われます)

状況としては、メモリがかつかつの環境で複数タブのブラウザを立ち上げてしまい、検索などを実行しようとした際、画面が真っ暗になって(偶にあるのですが、メモリ不足で一切の操作を受け付けなくなり、最悪電源を強制切断するしかなくなります)、復帰したくらいのタイミングでポップアップとして表示されたように思います。
(正確でなくて申し訳ありません)

前述のウイルス関連のページの方とは発生状況が違うのと、ただ、メモリ不足という点では似ているため、恐らくは単純にメモリ不足からきた警告なのだとは思うのですが、初めてということもあり、対応に迷っています。

説明を素直に読めば、「そのまま使う(?)と危険」という意味で、何らかの攻撃を受けたわけではないと思いますし、実際、その直後に強制的に電源を落として起動時にAVASTでチェックをしても異常はありませんでした(攻撃を検知、みたいなものでもなかったので)。
ただ、調べていると出てくるオーバーフローを利用した攻撃のような話はかなり目にするので、何らかのエラーでそうなったのか、ウイルス的な攻撃でそうなったのか(だとしたらAVASTが反応するかと思ったのですが、そうではなかったのです)、気になってしまいまして……。

自分の理解では、バッファーオーバーフローが「攻撃に用いられる(=メッセージの字義通り危険になる)」のは、

・なんらかの攻撃を意図した人が仕掛けをしたページを開くなどする
・バッファオーバーフローが起こる
・それに乗じてウイルスを仕掛ける

というような状況ではと考えています(最後のウイルスを仕掛ける、は、特定の動作などでどこかに飛ばす、というのもあったかもしれません)。

かなりもうヘタっているサブPCで、メモリは本当にかつかつになっているのが原因だったと思うのですが、こうした状況で「普通に使い続ける」のは危険でしょうか。
多分自分の勘違いなのだと思いますが、「バッファオーバーフローが起きた」場合、そのPCはずっとその状態で危険なままだったりするのではないか、と考えてしまいまして。
基本的にはそのプロセス(ブラウザなど?)でメモリが溢れても、それはその瞬間だけで、あとはウイルスなどを仕掛けられているかどうかはAVASTで調べれば大丈夫だと思ったのですが……。

一応時間を作ってスキャンしてみるつもりですが、それで大丈夫であれば、上記のような理解で(つまりバッファオーバーフローの状態が続くということはない)大丈夫なのでしょうか。
この症状が起こった際、AVASTはちゃんと入っていた(右下のアイコン一覧に入っていて機能していた)とは思います。
(が、メモリを一気に食われて画面がブラックアウトしていたので機能のほどはわかりませんが……)
最近メモリ不足で画面が真っ暗になることはよくあり、恐らくその絡みで出たものだとは判断しているのですが、何分メッセージがメッセージだけに自分で判断ができず、相談に乗って頂ければ幸いです。
プライバシーに関わるファイルや重要なファイルは入れていないのですが、何分作業中だったこともあり、もしも危険な状態になっているのであればと、作業中のファイルをメインPCとやり取りするのも怖くて繋げないでいます。

自分で可能なのは精々フルスキャンくらいになってしまうのですが、それで大丈夫でしょうか。

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5475
  • Whatever will be, will be.
メッセージ的にはWindows 10 のデフォルトの保護機能が働いたように見えます。バッファオーバーランはマルウェア感染の経路の一つとして有名ですが、セキュリティとは必ずしも関係なく発生しうるものです。
正直なところ、これだけだと何でもありなので確定的なことは言えません。

悪いケースで考えれば、開いていたブラウザの、例えば広告にマルウェアが入っていて、svchost.exe で稼働していたWindows のサービスに攻撃を行った結果、バッファオーバーフローが発生し、それをWindows が検知して遮断した・・・というシナリオも考えられないわけではないです。Avast も万能ではないので、マルウェアを見逃す可能性はもちろんゼロではありません。
もっとも、実際のところでいえば、設定等に依存する部分はありますが、最近はブラウザから直接Windows 側にアタックするのは難しくなってきています。メモリ不足や一時的な負荷のために、svchost.exe をホストに稼働しているサービスが誤動作を起こしただけ、の可能性もあります。

バッファオーバーランそのものはプログラム内の一時的な事象になりますので、それにより実際に悪意のあるコードが実行された場合を除き、プログラムが終了してしまえばご破算になります。
ただ、バッファオーバーランの原因が一時的な誤動作ではなくプログラムのバグにあった場合、再度発生する可能性は否定できませんので、プログラムの更新(Windows Update等)が出ていれば適用することをお勧めします。

スキャンに関しては、この場合オフラインでやってもあまり意味がないと思われるので、やるのであればインターネットに接続してウイルス定義等を最新にした状態で行ってください。
念を入れようとするときりがないですが、少なくともWindows はブロックしたと言っているようなので、そこまで心配することは無いかなと思っています。

個人的には、頻繁にブラックアウトするという方が(使い勝手という意味では)より問題のような気もします。。。
« Last Edit: December 10, 2019, 01:18:31 PM by NON »
Desktop: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 32GB RAM / Avast 23 Premium Beta(Icarus) / Comodo Firewall
Notebook: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 12GB RAM / Avast 23 Free / Windows Firewall Control
Server: Win11 Pro 23H2 64bit / Core i3-4010U 1.7GHz / 12GB RAM / Avast One 23 Essential

Avast の設定について解説しています。よろしければご覧ください。