- ベストアンサー
今回のようなバッファーオバーフローのウイルスについて
今回のようなバッファオーバーフローによるウイルスの場合は、アンチウイルスソフトで実行される前にブロックされるのでしょうか? なんかそのような、レスを拝見しました。 もし、運悪く、バッファオーバーフローによってアンチウイルスのメモリ領域にあふれがでれば、アンチウイルスソフトは機能しませんよね?そんなことになることはないかな?
- CityHunter
- お礼率14% (26/184)
- ウィルス・マルウェア
- 回答数3
- ありがとう数1
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
アンチウイルスソフトとは無関係でしょう。 要するにプリンター用ポート、外部からのリモートアクセスポートなどで、一端データをメモリに溜め込んで処理するという機能をサポートしているOSの機能で、もしメモリ領域で処理不能になるほどのデータを送られたら、処理し切れなかったデータをソフトの起動用データとして認識して、実行してしまうというバグ(不具合)を利用したものです。 マイクロソフトのパッチは、どれほどデータが多くなっても、ブロックして実行しないという修復をするものです。 ただ、ワームはレジストリに自分を起動時に実行するよう工作しますので、侵入されたら最後、常にウイルス自作のIPアドレスを作成して、ムヤミヤタラに自分自身のコピーをインターネット経由で送りまくろうとしますし、狭い範囲のLAN環境でも、ネットワーク内部に自分を送りつけようとしますので、LAN内に1台でも感染したPCがあれば、連鎖的に感染していきます。(MSのパッチがあれば、ワームが実行不能になるので、パッチの当てられていないPCを探すのだそうです。) アンチウイルスソフトは、ワームが、自分自身をコピーして送ろうとするときに検知するのだそうです。従って検知したときは、すでにレジストリが書き換えられています。LAN経由で自分を送ることができる相手を探すときは、通常のOSやアプリケーションのデーター送信と同じ手法が使われるので(要するに「ネットワークプリンタで印刷しますよ~」と見せかけて、相手先を探すのだそうです)、ウイルスソフトでは検知できません。 そうなるとファイヤーウォールソフトしか無いと、私も他の会員さんから教えてもらったところです。
その他の回答 (2)
- ShaneOMac
- ベストアンサー率39% (356/898)
オーバーランのコードがそのままワームの本体をなすならともかく、ファイル転送の前段階に使うだけというならその部分はワーム・コードの実行とは無関係となります。Blasterの場合はリモート・シェルを起動し、ファイルを送り込み、それから本体が実行され対象で活動を開始しますが、最後の実行部分でAVソフトの自動監視に引っかかるなら発現はしないと思います。 いずれにせよ未修正のRPCが走っていてワームから接続を受けた場合には、リモート・シェルが起動するところまでは行くでしょう。ただしそのシェルの接続がファイアウォールによってブロックされたりすればそこで止まります。またその先でコマンドを受けたとして、ファイル転送されてもそれが実行されるかはAVソフトの監視機能によって違ってくるでしょう。製品によってはダメなのかもしれませんが、対応しているならシステムからファイルにアクセスがあった時点で止まるのではないかと思います。
- goobad
- ベストアンサー率53% (39/73)
アンチウイルスソフトは、ウイルスから防衛する為のソフトです。 今流行中のワームのように、ネットワーク経由の侵入に対しては、ファイアーウォールが必要です。 ファイアーウォールソフトの比較検証をしているサイトです。参考にしてください。 http://www.geocities.jp/bruce_teller/security/index.htm ルータを導入して、ハードウェアファイアーウォールとして機能させる事も有効です。 情報を整理できていないようなので、一度誤った情報をきれいさっぱり忘れると、正しい情報を整理できるようになると思います。
補足
パチッ☆-(^ー’*)bナルホド、アンチウイルスソフトでは、実行を防ぎきれないんですねー!? 残念。 やっぱ個人でもFWが必要なんですね~。 フリーでいいのあったら教えてください。