実行ファイルを追加するウィルス

ウィルスに感染して、パソコン内にあるファイルに実行ファイルを追加された場合について。


パソコン内のファイルには

(A) 拡張子が.exeのような実行ファイル

と.

(B) 実行ファイルではなく拡張子がtxt,jpg,mp3,wmv,html,doc,xlsのような関連付けられたアプリケーションで開くファイル

に分かれます。



(A)タイプのファイルに実行ファイルを追加されてしまった場合、そのファイルをダブルクリックして実行すると、追加された実行ファイル部分までも実行されてしまうのでしょうか？


(B)タイプのファイルに実行ファイルを追加されてしまった場合、そのファイルをダブルクリックして関連付けられたアプリケーションで開くと、追加された実行ファイル部分も実行されてしまうのでしょうか？(拡張子は実行ファイル形式にならずそのままとします)

No.6 回答者： geshon 回答日時： 2013/04/27 22:58

dark_house さん

(A)も(B)も「ファイル感染型」ですね。この言葉が入っていないと、
回答としておかしいのですか？
質問者は「ファイル感染型」言葉そのものは用いなくとも、「ファイル」の
認識と「ファイルにウイルスが追加」されてしまうという言葉で感染方法を限定しています。
そこで新たに広い概念の「ファイル感染型」という言葉を用いることは適切ですか？
出てこない回答はおかしいですか？
私だったら混乱のもとになりかねないので、使用を控えます。


> ディジタル署名は単に「○○○さんが署名を行いました」というだけでは駄
> 目で、本当に当人が署名したのかや改ざんされていないかなどの証明が必要
> になります。これには認証局の証明書が必要になります。費用かかります。

間違いです。デジタル署名する段階で証明書が必要です。
証明書で署名するのです。改ざんは、データと署名で確認できます。
認証局は不要です。

証明書は認証局の介在が無くとも作成できます。
しかし、名刺と一緒で「○○○さん」の書名をもらっても「○○○さん」本人
かどうかの確認が取れません。
その保証をしてくれるのが認証局です。

認証局にお金がかかるのはこの保証のためです。
署名や改ざん等の確認で費用はかかりません。

電子署名の仕組みを理解されていますか？

ちなみに、主だった認証局の証明書はWindows であればデフォルトで
インストールされています。コントロールパネルのインターネットオプションで
確認が取れます。だから、改ざんの確認で認証局やほかのサイトに接続などと
いう事態はありません。

例としてはそれますが、Program Filesの下にある実行ファイルのプロパティを
見れば「デジタル署名」に類したタブがたいてい現れるので、実行ファイルの
デジタル署名の詳細が分かります。たいていの人はWindows7や8ならばほぼ総
てのソフトに署名がしてあると思います。
証明書のパスなどで、発行者や認証局の詳細が分かると思います。
（それでも、普及していないですか。でももう関係ないですね）


私の主張は、Officeのマクロへ署名は確かに商用の認証局が発行した「証明書」での
署名もあるが、デバックなどのためにローカルで証明書を作る方法があり、
その証明書の信頼性が認証局を用いずともわかるのならば、それを用いれば
「ただ」で作成・署名ができるということです。
その証明書を何らかの方法で信用できれば、認証局を用いずとも「ただで」
マクロの電子署名を運用できます。
社内業務で使用するOffice　マクロの配布などには適切な運用かと思っています。
実際、自分はそのような規定で社内運用しています。

以下のURLを参照してください。
http://office.microsoft.com/ja-jp/word-help/HA01 …
ここの説明で「自己署名」と称されているものが、私の主張している
「ただで」運用できる電子署名です。


自分の根拠に間違いがある可能性が多分に含んでいるのは承知しています。
指摘も歓迎します。しかし間違えた知識で否定されるのは心外です。

No.5 回答者： dark_house 回答日時： 2013/04/25 13:26

まず、「ファイル感染型」という言葉が出てこないとおかしいです。

ただ、secu_nekoさんもデータ型のほうにhtmlが入ってるのをどうも見逃してしまってるような気配を感じましたが。

あと、データ型でもたとえば動画ファイルや音楽ファイルにスクリプトを挿入できることがあります。なので再生とともに悪意のあるサイトへのアクセスを行わせるといったことも十分可能だと思います。


ディジタル署名は単に「○○○さんが署名を行いました」というだけでは駄目で、本当に当人が署名したのかや改ざんされていないかなどの証明が必要になります。これには認証局の証明書が必要になります。費用かかります。

No.4 回答者： nakanoren#2 回答日時： 2013/04/25 01:33

ごめんなさい。

secu_neko さん。

多分私の国語力の無さでしょう。何回読んでもNo.1の回答は
(A)はウイルスの組み込まれ方の言及しか読めません。
実行されるの言葉が見つかりません。
だから、実行されるかされないかの回答が無いと書きました。

よろしければ、以下の表現のどこが「実行される」を意味するのか
教えて下さい。
> まず、実行ファイルの追加ではなくて実行コードの追加ですね。で、ファイ
> ル感染型では実行形式ファイルに追記されます。
> 先頭、末尾、あと特殊なやつでキャビティー型というのもあります。セク
> ションの隙間に埋め込む型です。

docのマクロの実行をどのように設定するのかは、
OfficeのWordやExcelのオプションをみると判りますが、
署名の状態によってどのようにするのか決定します。
それ以外に実行するしないを決めることはできません。
実行するかしないかを手動で決める場合の決め手も
そのファイル名とマクロへの署名の状況だけです。

Officeのマクロで書かれた拡張機能の製品を購入すると
私が見た限りでは、全てに公的なCAでサインされた署名が
付加されていますね。本当に数えるほどの製品しか
利用したことがありませんが。

ちなみに、Officeのマクロの署名自体はお金はかかりませんよ。

スタートメニューから「VBAプロジェクトのデジタル証明書」
で証明書が作成されます。あとは自分で作ったマクロに
署名するだけです。
こんな署名を誰が信じるかという話はありますが、
売り物ではなく、例えば社内で使用するという程度なら、
フリーソフトで配布先を信用するのなら、結構実用的に
使用出来ます。信用したマクロ(署名)は実行でき、信用されない
出所不明なマクロは実行が阻止されます。
それを自動で行うようにオプションで設定もできます。

マイクロソフトのWebサイトに詳しく書かれています。

本当にセキュリティにお詳しいんですか？

仮想化は言いすぎかもしれませんね。JavaやJRE実行環境、
Javascriptのサンドボックスまでも含めたわかりやすい概念として
用いたつもりだったのですが。厳密な意味ならば変です。

No1のURLは画像ファイルに含まれているウイルスとしても、
(A)の実行ファイルに含まれているウイルスとしては適切ではなく、
No2のURLの方が(B)の解答例としてそのものズバリだから
書いたのですが。その理由も添えて。
はっきり言えば、質問に対する回答のURLとしては不適切
というか、混乱を招く事例です。ファイルに取り付くウイスルではなく、
実行ファイルに取り付くものでもなく、データファイルを
実行ファイルに取り替えるウイルスです。

(A)でも(B)でもない事例ならば、そのことを一言添えるのが
普通の回答者だと思います。

全てに技術的に根拠があって書いているつもりです。
誹謗と言われるのならば口が悪かったと納得いきますが、
中傷と言われてしまうと納得出来ません。

なお、No.1の回答は妄想とは思っておりません。No.2の回答には
そのような表現も無いはずです。正直な所、表現不足、不適切な
例示はあると思っていますが。
他の回答のことならば、江戸の敵を長崎で討たないでください。
その回答も事務局で修正されているようですし。

他の回答では 不足した情報から飛躍した回答を出す事を
妄想の域と言ったまでで、それに反論したいのでしたらば、
中傷などという間違った日本語を用いずに、印象などという
あやふやな言葉は用いずに、その論理がおかしい、自分の論理の
組立はこのような順序で構成されているなどの反論をしてください。

私はあなたの回答を中傷とも誹謗とも思っていません。
幅広い知識をお持ちなのに、肝心の回答に対する知識や対応に
不足している部分が僅かにあり、チョト余計な考えを足して
しまっているだけだと思っています。

私は、きちんと論理的に例示しながら反論していますし、
誤解していると思われる部分には、質問をしているつもりです。

No.3 回答者： secu_neko 回答日時： 2013/04/24 11:33

私は答えを書いています。

Aに関してはウイルス実行されます。

Bのデータファイルに関しては関連処理オブジェクトに脆弱性がある場合は別ですが、通常は実行されません。


なお、下のお方が言われる電子署名は使われていないことのほうが多いです。お金かかるので。実行環境の仮想化も全体的には普及してないです。知らない人のほうが多いので。


なお、前回記載したURLはこういう事例もありましたという参考資料です。

なんら、他人から中傷を受けるようなことではありません。

むしろ、他人に「妄想の域に達してる」なんて暴言を吐く人のほうが問題です。しかも、自分がその妄想君だったという間抜けさで笑っちゃいました。

No.2 回答者： nakanoren#2 回答日時： 2013/04/24 07:47

質問への回答（実行されるかされないか）が無いので。

> (A)タイプのファイルに実行ファイルを追加されてしまった場合、そのファ
> イルをダブルクリックして実行すると、追加された実行ファイル部分までも
> 実行されてしまうのでしょうか？

実行されます。ウイルスの作成者はそれを狙っています。なお一度実行されて
メモリに展開されてプログラムとして動き出すと、アンチウイルスソフトでも
検出が難しくなる場合があります。

> (B)タイプのファイルに実行ファイルを追加されてしまった場合、そのファ
> イルをダブルクリックして関連付けられたアプリケーションで開くと、追加
> された実行ファイル部分も実行されてしまうのでしょうか？(拡張子は実行
> ファイル形式にならずそのままとします)

html, doc, xlsにはマクロやスクリプトと呼ばれるプログラムを入れることが
できます。関連付けられたアプリケーションはそのマクロやスクリプトを実行
するので、ウイルスの実行ファイルを実行するのと同じ程度の影響があります。

対策も進んでおり、電子署名で身元をはっきりさせたものしか実行できなくし
たり、実行環境を仮想化してシステムに影響を与えなくしたりなど、
容易にはウイルスとして活動できなくなっています。

txtにはウイルスを忍ばせるのは難しいですが、jpg, mp3, wmv といったもの
は データ形式が決まっている分、不正なデータを読みこませることでプログ
ラムをわざと暴走（狂わせて）ウイルスプログラムを実行させる方法がありま
す。

開くアプリケーションに依存するといえばそれまでですが、メールに添付した
りインターネットで公開すれば、従来は勝手に開かれれることも多いですし、
開かれるアプリケーションも絞られて攻撃の対象になりやすくなります。

つまり、データに追加された実行ファイルの部分も実行される場合がほとんど
です。が、対策が進んで実行されることは、警告ダイアログなどに気をつけれ
ば、ほとんど無くなっています。

jpeg ファイルはアプリケーションが自前でデータを解析しなくとも、Windows
上ではOSやOfficeでデータを読み込み表示などをさせる事ができます。かつて
脆弱性があり攻撃の対象となり得たこともありました。

以下のURLはそのニュースです。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/2004 …

なお、No.1の回答のURLはデータファイルを実行ファイルに置き換えて、アイ
コンをデータファイルの形式にしてユーザの勘違いを誘うもので、(B)とは意
味合いに異なります。猿も木から落ちるですね。

この回答へのお礼

スクリプト・マクロが追加されることは頭に入っていませんでした。

ありがとうございます。

お礼日時：2013/05/03 13:19

No.1 回答者： secu_neko 回答日時： 2013/04/23 14:05

こんにちは。

まず、実行ファイルの追加ではなくて実行コードの追加ですね。で、ファイル感染型では実行形式ファイルに追記されます。

先頭、末尾、あと特殊なやつでキャビティー型というのもあります。セクションの隙間に埋め込む型です。


データファイルに関しては追記できる場合もあるにはあるんですが、仮にできたとしてもダブルクリックしてもウイルス動かないです。実行型ファイルじゃないので。ただし、そのデータファイルを開くためのアプリケーションの関連オブジェクトに脆弱性があったりするとその限りではないです。画像ファイルでも過去にウイルスありましたし。


参考↓　

http://itpro.nikkeibp.co.jp/article/NEWS/2007122 …

この回答へのお礼

>まず、実行ファイルの追加ではなくて実行コードの追加ですね

私の間違いの指摘、ありがとうございます。

実行コードが追加された時にどうなるのか分かりました。

お礼日時：2013/05/03 13:17