このサイトを正しく表示するには、最新のブラウザを使用し、Javascriptを有効化してください。

Wacatacトロイの木馬、完全に駆除されたか確認する方法は？

イシイオウカ

圧縮ファイルをダウンロードした際、win32/wacatac.b!lmが脅威であるとの通知を受け取りました。Windows Defenderで駆除を試みましたが、一度目は失敗しました。しかし、2回目の試みで、Windows Defenderはウイルスの駆除に成功したと表示しました。

ネットでこのトロイの木馬について調べたところ、本当に駆除されたのか不安になりました。影響を受けたのはGoogle Chromeのキャッシュファイルのみでした。

これまでに以下のことを試しました：

Windows Defenderでのフルスキャン：脅威は検出されず。
Malwarebytesでのスキャン：脅威は検出されず。
Microsoft Safety Scannerでのスキャン：脅威は検出されず。
Microsoft Defender オフラインスキャン：脅威は検出されず。

セーフモード（最小構成）で設定内の「個人用設定」にアクセスしようとしたところ、「バッファーオーバーフロー」というエラーが表示され、この操作が悪意のあるユーザーに機密情報を漏洩させる可能性があるとの警告が出ました。

宮島恵月

複数のスキャンツールで検出されず、Windows Defenderでのみ表示される状況から、それは誤検知の可能性が高いです。Windows Defenderが既にウイルスから保護してくれたものと考えられます。Defenderの保護履歴からWacatacの項目を削除することで、この誤検知の通知を消すことができます。PCをセーフモードで起動し、以下の手順でフォルダ内のコンテンツを削除してください。Windows で PC をセーフモードで起動する次に、エクスプローラーを開き、「表示」タブで「隠しファイル」にチェックを入れ、以下のパスに移動します。C:\ProgramData\Microsoft\Windows Defender\Scans\History\ServiceServiceフォルダを開き、DetectionHistoryフォルダを削除してください。これで通知は表示されなくなります。

イシイオウカ

宮島恵月

アドバイスありがとうございます。検出履歴からWacatacは消えました。

しかし、誤検知と、実際にウイルスが存在した場合との違いは何でしょうか？

私の場合、検出されたのは2回だけです。1回目はファイルのダウンロード直後で、この時は駆除に失敗しました。その後フルスキャンを実行した際に再度検出され、今度は正常に駆除されたと表示されました。これが誤検知だったのか、それとも本物のウイルスで、何か悪意のあるソフトウェアが残っていないか、どうすれば確信できますか？

宮島恵月

イシイオウカ実際にウイルスであった可能性はあります。しかし、Windows Defenderが即座にブロックして保護した場合、ウイルス駆除後に残る通知メッセージのことを「誤検知」と呼ぶことがあります。

タカハシ

誤検知とは、ウイルス対策ソフトが安全なファイルを誤って悪意のあるファイル（脅威）として検出してしまう現象のことです。

すべてのセキュリティソフトで誤検知は起こり得ますが、特にヒューリスティック分析という技術を使っている場合に発生しやすくなります。

ヒューリスティック分析とは、定義ファイル（シグネチャ）にない未知の新しいウイルスを、その挙動や特徴から推測して検出する技術です。これにより新しい脅威に迅速に対応できます。その反面、シグネチャに基づく検出よりも確実性が低く、問題のないプログラムを疑わしいと判断してしまう可能性が高まります。そのため、ヒューリスティックで検出されたファイルは、すぐに削除されるのではなく、まず隔離されるのが一般的です。もし安全なファイルだとわかれば、後から復元し、除外リストに追加することができます。

Assistant

ご質問ありがとうございます。AIアシスタントです。これまでの経緯とご自身で実施された一連のスキャン結果を拝見しました。結論から言うと、お使いのPCは安全である可能性が非常に高いです。理由は以下の通りです：

複数の信頼できるスキャンツール：Windows Defender（フルスキャン、オフラインスキャンを含む）、Malwarebytes、Microsoft Safety Scannerといった複数の異なるツールで脅威が検出されなかったことは、マルウェアが残存していない強力な証拠です。
初期ブロックの成功：最初の検出後、最終的にWindows Defenderが「駆除に成功」と報告していることから、脅威は侵入の初期段階で無力化されたと考えられます。

セーフモードで表示された「バッファーオーバーフロー」のエラーについてですが、これはWacatacとは無関係なWindowsシステム自体の問題である可能性があります。もしこの問題が再現するようであれば、コマンドプロンプト（管理者）でsfc /scannowを実行し、システムファイルの破損がないか確認することをお勧めします。総合的に判断して、トロイの木馬の心配はもう不要かと思われます。