コンピュータウィルスの仕組みについて

Question

コンピュータウィルスって実行ファイルに感染するんですよね？

イメージファイルや音楽ファイルには感染しませんよね？

いやそうではないとなると、一体どういう理屈になるのでしょうか？

詳しい方、どうかご助言くださいませ。

＃オカルト抜きの技術的なアドバイスをいただきたいです。

rebind · Accepted Answer

>コンピュータウィルスって実行ファイルに感染するんですよね？

はい、そういう場合もあるし、そうではなく単独動作の場合も。
ファイル感染型なら追記とかキャビティーとか。

イメージファイルに後から感染するやつはボク自身は聞いたことないです。ただし、単純にウイルスをイメージファイル化するのは簡単です。音楽ファイル感染はあります。

http://iibox.blog123.fc2.com/blog-entry-135.html

rebind · Answer

#3です。

>すいません。動画の方はイマイチ（というか全く）理解できません。

そうでしたか。それは失礼しました。一応説明すると、モニタリングツールのProcMonが動作してる状態ではマルウェアは動作をとりやめ、同様にSandBoxie上での起動と察知するやこちらも動作を取りやめてます。そういうことです。解析し難くしてるんですよ要は。

で、動的解析というのは実際に動作させて、そのアクティビティーをつぶさに見るということです。ProcMonでのモニタリングなどがまさにこれに相当します。WireShark等でのモニタリングも当然そうです。これとは対照的に静的解析というのがありまして、これはデバッガなどによるバイバリ解析を指します。ボクはこのデバッガによる解析も以前にここのサイトに動画をアップしています。その時はImmunity Debuggerを使いました。

仮想環境はおっしゃるとおりVirtual PCやVMWare、Virtual Box、SandBoxieなどによる環境です。

rebind · Answer

#3です。

こういうのもあります。というか最近は当たり前のようになってるみたいですけど。

http://www.youtube.com/watch?v=ojHH5FaR3hE

要するに、動的解析や仮想環境での動作を避けるためですよね。彼らにしてみれば当然かな。ちなみにボクは専門家じゃありません。独力でここまできてます。素人レベルでここまでできれば凄いと思いません？

他の人ににも参考になると思うのでオンラインの動的解析サービス紹介します。

http://www.sunbeltsecurity.com/sandbox/

http://anubis.iseclab.org/

なんでこういうの紹介しないんだろ。ここの回答者は。

rebind · Answer

#3です。

>プログラムのバイナリパターンを既存のウィルスデータベースと比較して、そうであるかないかを判断しているのですよね？

基本はそうですよ。バイトパターン。プラスして最近ではレピュテーションとか。

>ウィルスのプログラムの一部を変更して書き換えるという作業をさしていると思われますが、その認識で間違いないですよね？

はい、そうです。

>このインポートテーブルというのはDLL のインポートの事でしょうか？通信ですからWinSock とか使ってそうだと思うんですが

はい、DLLのインポートです。画面はwininet.dllを選択した状態で示してます。WinSockも使ってます。この画面にはws2_32.dllがスクロールの関係で写っていないだけです。

>自己解凍型の実行ファイルと似たような動作をするのでしょうか。

はい、暗号化を解いで実行するという形になります。

>データベースに乗っていないバイナリパターンであるため、検出されない。という事を意味しているのでしょうか？

はい、そうです。

rebind · Answer

#3です。再度失礼します。

以下のプログラム改変ツールはまだ紹介したことなかったと思うのでお見せします。どういった改変を行うのかわかるでしょ？

こういった類のものがマルウェアコミュ行けば腐るほど転がってます。

rebind · Answer

#3ですけど、

バイパスアンチウイルスってのはアンチウイルスの回避のことです。

ボクは対策ソフトのテスト動画などをよくアップしてますけど、その中で出てくる各対策ソフトで検出できないファイルの実行テストをしてますけど、あれって実は本来はそれぞれの対策ソフトで検出されてしまうファイルを検出できないようにボクがテスト用に加工を加えたものです。すでに何回かそういったプログラム改変ツールの実物画像をここのサイトにアップしています。最近ではオンラインの改変サービスまであります。

ちなみに、以下はある有名なバックドアのインポートテーブル(一部)の画像

こういうのがわからないとマルウェアをより詳しく知ることはできません。プログラムの動作に関連するものだから当たり前ですけど。ちなみに、この画像ではこのバックドアの通信に関するAPIのうち、HTTPとFTPに関するものを示してます。

rebind · Answer

以下のようなこともありますので、一応。

http://itpro.nikkeibp.co.jp/article/NEWS/20100623/349488/

なお、ついでにですが、最近のバイパスアンチウイルスを可能にするプログラム加工ツールなどでは難読化+ファイル情報改変ができるものがかなり増えてます。プロパティー情報ですね。

naniome2#1 · Answer

>コンピュータウィルスって実行ファイルに感染するんですよね？
そうとは限りません。ExcelやWordのマクロとして潜むマクロウィルスもあります。
http://www.bekkoame.ne.jp/~poetlabo/COMP/Excel/TIPS/virus.htm

>イメージファイルや音楽ファイルには感染しませんよね？
jpegファイルに仕込まれたウィルスもありました。
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20040929/150576/
音楽ファイルを開くと感染する…というのもありました。
http://orbit.cocolog-nifty.com/supportdiary/2009/04/post-2247.html
http://securityblog.jp/news/18.html

saekikkt · Answer

一例です。
詳しい理屈は、識者にお願いします。
>イメージファイルや音楽ファイルには感染しませんよね？
そんなことは、無いですよ！
過去、有名なところでJPGにウイルスが仕込まれる下記があります。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041008/151027/
http://questionbox.jp.msn.com/kotaeru_reply.php3?q=6790876

Word、Excelのファイルに感染するマクロウイルスも有名です。（でした？）

>コンピュータウィルスって実行ファイルに感染するんですよね？
これは、少しちがうように思います。
実行ファイルに感染してそのなかにもぐりこむものもあると思いますが・・・・・
たとえば、ノートバッド（notepad.exe）のプログラムをnotepad.comに変え、代わりに同じ名前のNotepad.exeに入れ替わる「Qaz.Trojan」というウイルスのようにウイルスプログラムをそのものを送り込んでパソコンがウイルスに感染するということになります。
http://www.atmarkit.co.jp/fwin2k/insiderseye/20001031ms_attacked/20001031ms_attacked.html

動画サイトにアクセスするとウイルスプログラムをＤＬさせるサイトのように動画に自体にウイルスがあるわけでは、ないですが、パソコンはウイルス感染することになります。
http://virusbuster.jp/vb2011/case/movie/index.htm

「実行ファイル」に感染するという言い方ではなくパソコンがウイルスプログラムに感染するという言い方のほうが良いと思います。

従って、ウイルス自体は、実行形式のプログラムだと思いますが、感染は、画像でも音楽でも動画からでもパソコンは、感染します。

コンピュータウィルスの仕組みについて

>コンピュータウィルスって実行ファイルに感染するんですよね？

#3です。

#3です。

#3です。

#3です。

#3ですけど、

以下のようなこともありますので、一応。

>コンピュータウィルスって実行ファイルに感染するんですよね？

一例です。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング