- ベストアンサー
コンピュータウィルスの仕組みについて
コンピュータウィルスって実行ファイルに感染するんですよね? イメージファイルや音楽ファイルには感染しませんよね? いやそうではないとなると、一体どういう理屈になるのでしょうか? 詳しい方、どうかご助言くださいませ。 #オカルト抜きの技術的なアドバイスをいただきたいです。
- ウィルス・マルウェア
- 回答数9
- ありがとう数9
- みんなの回答 (9)
- 専門家の回答
質問者が選んだベストアンサー
>コンピュータウィルスって実行ファイルに感染するんですよね? はい、そういう場合もあるし、そうではなく単独動作の場合も。 ファイル感染型なら追記とかキャビティーとか。 イメージファイルに後から感染するやつはボク自身は聞いたことないです。ただし、単純にウイルスをイメージファイル化するのは簡単です。音楽ファイル感染はあります。 http://iibox.blog123.fc2.com/blog-entry-135.html
その他の回答 (8)
- rebind
- ベストアンサー率30% (136/444)
#3です。 >すいません。動画の方はイマイチ(というか全く)理解できません。 そうでしたか。それは失礼しました。一応説明すると、モニタリングツールのProcMonが動作してる状態ではマルウェアは動作をとりやめ、同様にSandBoxie上での起動と察知するやこちらも動作を取りやめてます。そういうことです。解析し難くしてるんですよ要は。 で、動的解析というのは実際に動作させて、そのアクティビティーをつぶさに見るということです。ProcMonでのモニタリングなどがまさにこれに相当します。WireShark等でのモニタリングも当然そうです。これとは対照的に静的解析というのがありまして、これはデバッガなどによるバイバリ解析を指します。ボクはこのデバッガによる解析も以前にここのサイトに動画をアップしています。その時はImmunity Debuggerを使いました。 仮想環境はおっしゃるとおりVirtual PCやVMWare、Virtual Box、SandBoxieなどによる環境です。
お礼
毎度ありがとうございます。技術的な側面がとても勉強になります。 モニタリングツールの検出はどうやっているんでしょうね?単に稼働プロセスを列挙して該当するモニタリングツールを見つけているんでしょうか。そういう動作をするソフトならウィルスじゃなくてもありますね(ゲーム用ガードシステムの類とか)。 SandBoxie やSandBox なる言葉は初めて聞きましたが、どういう代物かは理解できました。ただVirtualPC と違って完全仮想化環境では無いようなので、その辺を調査して動作するかしないか見てるんでしょうね。(それとも完全仮想化環境下でも見破るトリックや隠しAPI でもあるのかなぁ)。 動的解析もさることながら静的解析というのはスゴイですね。アセンブラの時代じゃないんだから・・・と度肝を抜かれます。まぁでも、そういう細かい力業でウィルスもまた作られている訳ですが。う~~む。
- rebind
- ベストアンサー率30% (136/444)
#3です。 こういうのもあります。というか最近は当たり前のようになってるみたいですけど。 http://www.youtube.com/watch?v=ojHH5FaR3hE 要するに、動的解析や仮想環境での動作を避けるためですよね。彼らにしてみれば当然かな。ちなみにボクは専門家じゃありません。独力でここまできてます。素人レベルでここまでできれば凄いと思いません? 他の人ににも参考になると思うのでオンラインの動的解析サービス紹介します。 http://www.sunbeltsecurity.com/sandbox/ http://anubis.iseclab.org/ なんでこういうの紹介しないんだろ。ここの回答者は。
お礼
すいません。動画の方はイマイチ(というか全く)理解できません。 動的解析というのは実行時に解凍(復号化)された実行ファイルに対しても行われるという事を意味するのか、そのプロセスが行う通信を監視するのか、いろいろ想像はするのですが・・・どうも。 仮想環境というのはVirtualPC でしょうか?フリーソフトの類を使う時はVirtualPC 上で動かしたりしますが、ホストOSかゲストOSかは、OS自体には区別できないのではなかったでしょうか?ゲストOS上では良い子を振る舞うウィルスがあるとしたら、どういう仕組みなでしょうねぇ。 あ、もしかして動的解析ってオンライン・ウィルススキャンみたいな事を指しているのでしょうか? ここまで詳しい回答者は居ないのでしょう。ある種のモチベーションを持ってひたすらに追求する様は立派です。そういう素人風情がリアルプロを軽く凌駕するのは、コンピュータの世界ではよくある事とはいえ、面白いですね。
- rebind
- ベストアンサー率30% (136/444)
#3です。 >プログラムのバイナリパターンを既存のウィルスデータベースと比較して、そうであるかないかを判断しているのですよね? 基本はそうですよ。バイトパターン。プラスして最近ではレピュテーションとか。 >ウィルスのプログラムの一部を変更して書き換えるという作業をさしていると思われますが、その認識で間違いないですよね? はい、そうです。 >このインポートテーブルというのはDLL のインポートの事でしょうか?通信ですからWinSock とか使ってそうだと思うんですが はい、DLLのインポートです。画面はwininet.dllを選択した状態で示してます。WinSockも使ってます。この画面にはws2_32.dllがスクロールの関係で写っていないだけです。 >自己解凍型の実行ファイルと似たような動作をするのでしょうか。 はい、暗号化を解いで実行するという形になります。 >データベースに乗っていないバイナリパターンであるため、検出されない。という事を意味しているのでしょうか? はい、そうです。
お礼
ありがとうございます。
- rebind
- ベストアンサー率30% (136/444)
#3です。再度失礼します。 以下のプログラム改変ツールはまだ紹介したことなかったと思うのでお見せします。どういった改変を行うのかわかるでしょ? こういった類のものがマルウェアコミュ行けば腐るほど転がってます。
お礼
ありがとうございます。 プログラム改変ツールですか・・・。AES やXOR とありますね。自己解凍型の実行ファイルと似たような動作をするのでしょうか。 これらを使うと、ウィルス対策ソフトのデータベースに乗っていないバイナリパターンであるため、検出されない。という事を意味しているのでしょうか?
- rebind
- ベストアンサー率30% (136/444)
#3ですけど、 バイパスアンチウイルスってのはアンチウイルスの回避のことです。 ボクは対策ソフトのテスト動画などをよくアップしてますけど、その中で出てくる各対策ソフトで検出できないファイルの実行テストをしてますけど、あれって実は本来はそれぞれの対策ソフトで検出されてしまうファイルを検出できないようにボクがテスト用に加工を加えたものです。すでに何回かそういったプログラム改変ツールの実物画像をここのサイトにアップしています。最近ではオンラインの改変サービスまであります。 ちなみに、以下はある有名なバックドアのインポートテーブル(一部)の画像 こういうのがわからないとマルウェアをより詳しく知ることはできません。プログラムの動作に関連するものだから当たり前ですけど。ちなみに、この画像ではこのバックドアの通信に関するAPIのうち、HTTPとFTPに関するものを示してます。
お礼
何度もありがとうございます。勉強になります。 ウィルス対策ソフトでの検出を回避するとの事でしたが、ウィルス対策ソフトはウィルスに感染した実行ファイルの実行時またはファイル列挙時にそのプログラムのバイナリパターンを既存のウィルスデータベースと比較して、そうであるかないかを判断しているのですよね?(古典的な手法だと思われますが、実際にそれしかない?) 検出されないようにするには亜種というか、適度にウィルスのプログラムの一部を変更して書き換えるという作業をさしていると思われますが、その認識で間違いないですよね? どうもイマイチ理解できないのですが・・・このインポートテーブルというのはDLL のインポートの事でしょうか?通信ですからWinSock とか使ってそうだと思うんですが、この画面の情報からどういう内容が読み取れるのでしょうか? #本来使われないはずの通信系API がdll より参照されているからウィルスではないかと??
- rebind
- ベストアンサー率30% (136/444)
以下のようなこともありますので、一応。 http://itpro.nikkeibp.co.jp/article/NEWS/20100623/349488/ なお、ついでにですが、最近のバイパスアンチウイルスを可能にするプログラム加工ツールなどでは難読化+ファイル情報改変ができるものがかなり増えてます。プロパティー情報ですね。
お礼
なるほど。ActiveX コンポーネットの実行の際に表示される認証確認すらも、信頼するに足らないという事ですか。 もっともこの手のActiveX は以前は仕事でちょくちょく作っていたので、私だけがよくよく注意して見ているのかもしれません。大抵の人は疑う事すら無クインストールしてしまうのでしょう。 すいません。バイパスアンチウィルス~の一文が理解できません。ググっても今ひとつ見つけ出せません。どこか説明したサイト等をご存じないでしょうか?ご説明いただければ幸いです。
>コンピュータウィルスって実行ファイルに感染するんですよね? そうとは限りません。ExcelやWordのマクロとして潜むマクロウィルスもあります。 http://www.bekkoame.ne.jp/~poetlabo/COMP/Excel/TIPS/virus.htm >イメージファイルや音楽ファイルには感染しませんよね? jpegファイルに仕込まれたウィルスもありました。 http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20040929/150576/ 音楽ファイルを開くと感染する…というのもありました。 http://orbit.cocolog-nifty.com/supportdiary/2009/04/post-2247.html http://securityblog.jp/news/18.html
お礼
ありがとうございます。 誠に申し訳ございません。どの記事も根拠となる理屈が一切省かれているのか、それとも根拠なく書かれているのか、今ひとつ信頼できません。 まるでピュアオーディオのオカルトの文献のようですらあると、私は解釈せざるえません。 仮に事実であるとすると、jpeg や音楽ファイルに見えたものが実は実行ファイルであった、もしくはそれぞれの関連付けされたプログラム自体にウィルスが感染していた(またはウィルスファイルそのものに関連付けがされていた)という道理になると思います。
- saekikkt
- ベストアンサー率60% (378/622)
一例です。 詳しい理屈は、識者にお願いします。 >イメージファイルや音楽ファイルには感染しませんよね? そんなことは、無いですよ! 過去、有名なところでJPGにウイルスが仕込まれる下記があります。 http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041008/151027/ http://questionbox.jp.msn.com/kotaeru_reply.php3?q=6790876 Word、Excelのファイルに感染するマクロウイルスも有名です。(でした?) >コンピュータウィルスって実行ファイルに感染するんですよね? これは、少しちがうように思います。 実行ファイルに感染してそのなかにもぐりこむものもあると思いますが・・・・・ たとえば、ノートバッド(notepad.exe)のプログラムをnotepad.comに変え、代わりに同じ名前のNotepad.exeに入れ替わる「Qaz.Trojan」というウイルスのようにウイルスプログラムをそのものを送り込んでパソコンがウイルスに感染するということになります。 http://www.atmarkit.co.jp/fwin2k/insiderseye/20001031ms_attacked/20001031ms_attacked.html 動画サイトにアクセスするとウイルスプログラムをDLさせるサイトのように動画に自体にウイルスがあるわけでは、ないですが、パソコンはウイルス感染することになります。 http://virusbuster.jp/vb2011/case/movie/index.htm 「実行ファイル」に感染するという言い方ではなくパソコンがウイルスプログラムに感染するという言い方のほうが良いと思います。 従って、ウイルス自体は、実行形式のプログラムだと思いますが、感染は、画像でも音楽でも動画からでもパソコンは、感染します。
お礼
ありがとうございます。 ただ「Qaz.Trojanの最初の感染は~」の記載を見ると、やはりダウンロードした実行ファイルを実行する事が最初の感染(というかウィルス・プログラムそのものの単体での起動)と見受けられます。 ブラウザであればActiveX コンポーネントを不用意にクリック・アドインへインストールするという動作と思われます。 .com も起動ファイルでしたよね。懐かしいw このnotepad の入れ替えはOS の再起動時の自動起動を仕組めなかった場合に、もっとも頻繁に使うであろうnotepad を起動に使うという例ですね。これはウィルス感染後の、ウィルス自体の再起動対策であって、初期の感染ではありませんよね。 マクロウィルスは分かります。しかし画像データや音楽ファイルから感染するというのは、依然として理解できません・・・。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_2_thumbnail_img_sm.png)
お礼
ありがとうございます。 リンク先の説明は理解できました。音楽ファイルのコーデックをインストールするかに見せて(コーデックのIE 経由でのインストール要求は、実はActiveX を使った実行ファイルでのインストールに他ならない)、実はウィルスプログラムそのものが起動するという事ですね。コーデックもちゃんとインストールするんでしょうが、それにしてもそういうActiveX を実行する事がやはりウィルス感染と言えると思います。 この場合、音楽ファイルに感染したと言えるのでしょうか?(まぁ言えなくもないか・・・)。