ウイルスの感染の仕方について。

３つの質問があります。

◆よくダウンロードしたファイルを開けたら（または偽装ファイルで）それが実はウイルス入りの実行ファイルで、それをクリックしたばっかりにウイルスに感染したなどありますが、実行ファイルだったら、例えクリックしても（実行する前に）実行してもいいですか？ってメッセが出ないんでしょうか？クリックした時点で自動的に実行されるんですか？？

◆あと、ブラウザで表示しただけで感染するとありますが、これはどういう原理で感染するんでしょうか？画面上に何も変化がないのに感染するんですか？？

◆最後に、ウイルスに感染したら色々パターンはあると思いますが、外部に感染したパソコンのファイルをバラまく、画面をキャプチャして外部に出す、等々ありますが、ファイヤーウォールをしていたら大丈夫じゃないんでしょうか？？

ウイルス対策は現時点で、できる範囲でやっていますが最近更にウイルスが巧妙になっていて心配なので質問してみました。

皆さんよろしくお願いします。

No.3 ベストアンサー 回答者： parts 回答日時： 2006/03/04 10:50

Ｑ／クリックした時点で自動的に実行されるんですか？？

Ａ／ご質問はダウンロード保存後のファイルですね。ダブルクリックすれば多くの場合は自動実行されます。ただ、WindowsXPの場合にはエクスプローラのデフォルト設定にて署名のないexeファイルの実行前に警告メッセージが表示されます。また、不正な署名ならば表示がでない恐れがあり、その場合はダブルクリックで即展開されます。よって、メッセージが出れば安全なわけでも、出ないものが安全なわけでもない。

Ｑ／これはどういう原理で感染するんでしょうか？画面上に何も変化がないのに感染するんですか？

Ａ／ウィルスには偽装する物が多々あります。通称トロイの木馬などがそれにあたりますが、それはマクロメディアのフラッシュ（Webアニメーション）を装うものやJAVA、ActiveXを使う物もあります。これらは、スクリプト言語でありWebに埋め込むタイプのプログラムです。ブラウザのページもハイパーテキストマークアップランゲージ（HTML）という簡単なテキスト言語（プログラミング）ですから、それをより効率的に使うための延長線上にあるスクリプトです。これらは、ブラウザプログラムおよびそのプラグインによって駆動するため、ページを開いた時点で展開処理が行われます。というより、その展開コードがすでにHTML上にあり、それを利用すれば感染する可能性があるということになります。

一般にInternet Explorer6やFirefoxではそれらのロードを行う際にウィンドウ上部にプログラムの実行を行うかどうかのバーが表示されますが、バージョンによっては表示されませんし設定によって表示しないことも可能です。ただし、安全を装っている場合や、ブラウザの脆弱性をねらっている場合はこの機能は働きませんし、利用者が安全だと誤解して入ってくる可能性があります。

Ｑ／ファイヤーウォールをしていたら大丈夫じゃないんでしょうか？？

Ａ／ファイアウォールには、主に２つの手段によって外部、および内部からのデータのやり取りを監視します。１つは、パケットフィルタリングという方法。データの固まりを監視しそのデータが正しいポート（入り口）を介しているか、要求のない不正なデータではないかを監視します。

2つ目は、アプリケーションフィルタリング。特定のソフトウェアがデータをやり取りすることを許諾するかしないか決定し、許諾したソフトが行うネットワーク接続とその要求によって帰ってくるデータのみを許します。

この２つです。
一般にこの２つに該当しないデータのやり取りは、そのファイアウォールやOS本体に脆弱な部分がなく、尚かつ特定のポート解放を行っていなければ、外部にデータが流出する可能性は低いと言えます。

ただし、そのプログラムが、あるソフトウェアを介して処理を行うプログラムならどうでしょうか？
Firewallがそのソフトのネットワーク接続を常に許可する（Allow）いわゆる顔パスを許す設定にしていれば・・・不正ではなく扱われます。特に常に使うことが多いブラウザソフトなどは、接続の都度利用者にFirewallの許諾動作を確認するような設定にはしていないはずですからね。

また、OSそのものやインターネットに接続する全てのプログラムが持つ可能性のある脆弱性も悪用すればどうなるか。Windowsアップデートなどでよく修正プログラムが提供されていますが、これはWindowsに限らず自動アップデート機能を持っているソフトなどの機能の問題点を突けば・・・

ちなみに、この中でもユーザーが的確な知識を持てば外部への流出を防げるケースも存在します。例えば、既に許可されているプログラムのコードを書き換えて、不正なデータを流出できるように設定してしまう輩の場合は、最近のFirewall側が持つMD署名と呼ばれる機能が働き、バージョンが変わっていると解釈され利用者にバージョンが正しいかどうかの確認を促します。Windowsアップデートなどでの更新の覚えがない場合、これを許諾しなければ、その不正に改ざんされたプログラムを元に戻さない限りネットワーク接続が拒否されます。それでも防げるのはわずかで、ウィルス対策ソフトとの併用が必須です。

いかがでしょう。
これらのことから、最終的には人の判断を促すことも多くあります。そのときに分からないからとりあえず許諾すると感染する可能性もあるでしょう。
最初はとりあえず疑うことです。このようなことを理解して、しっかり複数の対策を行えば問題は少なくなります。

この回答へのお礼

partsさん、回答ありがとうございます。
返答（お礼）が遅れてすいませんでした。

すべての質問に丁寧にわかりやすく書いてもらったおかげで凄く勉強になりましたし、参考になりました。

なるほどなことがとても多く、本当にありがとうございました！

お礼日時：2006/03/06 06:52

No.4 回答者： hoihence 回答日時： 2006/03/04 16:49

どうぞ

http://support.microsoft.com/?scid=kb;ja;884237

>あと、ブラウザで表示しただけで感染するとありますが

ブラウザはスクリプトインタプリタを搭載してます。セキュリティーホールを悪用するExploitも珍しくないですし。特にホールを悪用されるパターンの場合にはシステムを乗っ取られる可能性があります。この辺のメカニズムの説明は割愛します。

>ファイヤーウォールをしていたら大丈夫じゃないんでしょうか

流出を防げる場合もあるし、防げない場合もあります。ファイアーウォールをすり抜けてしまう攻撃手法も実際存在します。

これからの時代は平均レベルの対策では十分ではなくなるようになるでしょう。なにしろ、攻撃手法が年々高度化してきてますから。出来る限りリスク低減を図るには総合的セキュリティースキルを求められます。
俺の基本コンセプトは「多角的多層防御」です。すり抜けや0-dayにも対抗できるようになってます。

この回答へのお礼

hoihenceさん、返答（お礼）が遅れてすいません。
回答ありがとうございます。

少し、というか専門用語も多少あってまだ私の知識では理解できないこともありますが、わからない用語を検索してゆっくりと理解していきたいと思います。

回答ありがとうございました！

お礼日時：2006/03/06 06:54

No.2 回答者： yoshi-thk 回答日時： 2006/03/04 08:48

ウイルス感染したファイルに関しては、自動で解凍するタイプのファイルものあるので、万全とは言い切れないです。

ブラウザを表示させると言うことは、こちらのパソコンに相手から送られてきたデータを読み取りして、
こちらのパソコンで実行し、表示します。
そのデータの中に、ウイルスプログラムが入っていた場合には、そのプログラムデータも稼働させることになるので
ウイルスに感染したと言うことになります。

ですから、ブラウザやメールのプレビューでも、怪しいサイトやメールはアクセスしない・表示させない事が大事なのです。

ファイアウォールの役割を勘違いしているようです。
ファイアウォールは、外部からの不正なアクセスを防止する目的で設置しているものであって、
ウイルスの有無について確認しているものではないです。
ウイルスの有無に関しては、ウイルス対策ソフトが役割を持っているので、ファイウォールとは別のものです。

ファイアウォールは、自分でアクセスしたいサイト以外から、アクセスしようとする動きを防御するものであるので
ウイルスの感染防止とは、関係性はないです。

この回答へのお礼

yoshi-thkさん、回答ありがとうございます。

ブラウザで表示＝すでに相手のデータを受け取ってるって実行してる。凄いわかりやすかったです(^^)

なるほどばっかりで大変参考になりました。
（お礼が遅くなり、すいませんでした）

お礼日時：2006/03/06 06:49

No.1 回答者： noname#21649 回答日時： 2006/03/04 03:32

上から

ブラウザの設定による。私の場合には「ダウンロードしファイルとして保存する」以外の動作をしないようにしています。

＜img scr="適当に.jpg"＞で適当なhtmlファイルをjpgファイルとしてブラウザが読みこみ.ブラウザが識別子やmyme-typeからではなく.ファイルの状態で動作をする場合(IE等の仕様)に.htmlファイルを表示します。＜body＞タグに読み取り終了直後に実行する内容を指定します。
ここまではソースで拾ったのですがその後が面倒でソース解析をやめました。
マイクロソフトアップデートでクリックすると特定のファイルを実行するようにできていますね。この一群の命令を
「読み取り終了直後に実行する内容」として指定すると.ファイル読み取り直後に実行されます。
実行したファイルが外部から適当にウイルスをダウンロードし実行.レジ゜ストリ等に起動直後に実行するように登録。また.システム実行に必須のファイルを適当に書き換えて.常にウイルスが実行されるような環境にします。

＞ファイヤーウォールをしていたら大丈夫じゃないんでしょうか？？
ｈｔｔｐのポート80を使う方法ではファイヤーオール機能がほぼ通常の通信として解釈します。

この回答へのお礼

edogawaranpoさん、回答ありがとうございます。
返事が遅くなりすいませんでした。

参考になりました(^_^)
回答ありがとうございました！

お礼日時：2006/03/06 06:47