不審なプロセスの早期発見のために設計されたネットワークモニター「NetStatusMonitor」

「ウィルスを通信から発見するツール NetStatusMonitor」v1.3

　「ウィルスを通信から発見するツール NetStatusMonitor」は、ネットワーク通信を監視して、挙動の不審なプロセスを早期に発見するためのツール。64bit版を含むWindows 7/8/8.1/10に対応するフリーソフトで、作者のWebサイトからダウンロードできる。

　ネットワークの接続状況を定期的に確認して、アプリケーションが怪しい通信を行っていないかチェックするのは、マルウェアの早期発見には欠かせない。しかし、ネットワークモニターの多くは汎用的な設計になっており、そうした目的に適しているとは言い難い。

　そこで開発されたのが、今回紹介する「NetStatusMonitor」だ。本ソフトの特徴は、ホワイトリストやブラックリストを標準装備している点。基本的な動作そのものはOSに標準搭載されている「netstat」コマンドやWindows Internals製の「TCPView」などと大きく変わるところはないが、あらかじめ安全とわかっているプロセスを除外表示し、ブラックリストに合致するプロセスを検出してくれるため、挙動の怪しいプロセスをあぶり出すのに向いている。

　本ソフトのメイン画面には4つのリストビューがあるが、上2つはそれぞれクライアント接続とサーバー接続のリストとなっている。ここに表示されている接続のうち、安全であるとわかっているものをダブルクリックで“除外”していこう。除外された接続は下2つのリストビューに移され、上2つのリストビューには表示されなくなる。プロセスの除外は基本的にプロセス名や接続先を頼りに行うことになるが、本ソフトには“Whois”で調べる機能も備わっているので活用したい。

　こうして接続を除外していくと、上2つのリストビューには新しい接続か、安全であるか確信できない接続のみが残ることになる。あとはこれらのプロセスのみに注意を払えばよいというわけだ。

　加えて、本ソフトにはブラックリスト機能も備わっている。このブラックリストにはサービスホストプロセス（svchost.exe）を騙る“svch0st.exe”などのプロセスや、マルウェアの通信に使われたことのあるIPアドレスがあらかじめ登録されており、これらに合致するプロセスを検出するとダイアログでユーザーに警告してくれる。

ブラックリスト機能も搭載。合致するプロセスを検出するとダイアログでユーザーに警告してくれる