futuremix

Sophos Anti-Rootkit は、無料で利用できるルートキット検出ツールです。無料と言っても出所不明のツールではなく、Sophos 社の製品の一部の機能が切り出されたようなツールです。また、サポートを受けるには有償のライセンスが必要なようです。

日本語ページからダウンロードしますが、ソフトは英語です。現時点での最新版は 1.3.1 で、自動アップデートの機能はないので、定期的に最新版をダウンロードして入手する必要があります。

ダウンロードにはメールアドレスや電話番号を入力し、英語の使用許諾に同意する必要があるのでやや面倒です。以前は毎回メールアドレスを入力していましたが、現在は MySophos アカウントに登録しなければならないようです。登録画面では、「この製品の自宅ユーザー用バージョンを希望します。」にチェックをつけないと、勤務先の情報を要求されます。

ダウンロードしたらインストールは簡単です。

「Start Scan」を押すとプロセス、レジストリやファイルをスキャンします。EFS で暗号化したファイルは軒並み検出されてしまいます。

おそらく NTFS の代替データストリーム(ADS) を使っているファイルはすべて引っかけてくるみたいです。ルートキットにはそのようにして姿を隠しているものも多いためでしょう。マイコミジャーナルの記事によれば、実際に Backdoor.RustockやTrojan.Linkoptimizerなどのマルウェアに悪用された報告があるとのこと。EFS を常用している環境ではとても使い物になりませんが、定期的に試してみるのは良いと思います。