ウイルス感染の瞬間

ウイルスが感染するのはどの段階なのでしょうか。
例えばウイルスのファイルが入った圧縮ファイルを送りつけられたとしたら次のうちどの時点で感染したことになるのでしょうか。

(1)コンピュータに送信完了した時点
(2)その圧縮ファイルの入ってるフォルダを表示した時点
(3)その圧縮ファイルをワンクリックやカーソルを合わせた時点
(4)解凍してそのウイルスの入ってるフォルダを表示した時点
(5)そのウイルスファイルをワンクリックしたりカーソルを合わせた時点
(6)そのウイルスファイルをダブルクリックして実行した時点

No.3 ベストアンサー 回答者： waros99 回答日時： 2007/12/15 21:58

こんにちは。

ボクはその筋のコミュニティーの潜入調査やVirtual Machine上でAVのスキャンやPFWの検知を欺くMalwareの動作解析みたいなことをやってます。

えーと、「ダブルクリックで開く」の設定では大半が6ですね。

で、MS07-017の脆弱性のやつを例にとらせてもらいますが、たとえばこの脆弱性を悪用した画像を用意したとします。これですと4ですね。またはWEBを表示した瞬間やメールでのリンクをクリックした瞬間です。

また、使ってるアーカイバに脆弱性があった場合、脆弱性を悪用した特定のアーカイブを解凍した瞬間ということもぜんぜんあり得ます。先ごろLhaPlusのことがありましたしね。

この回答へのお礼

ありがとうございます。
わかりやすく答えて頂き感謝します。
解凍までは若干安心出来るという感じでしょうかね
LhaPlusの件は知りませんでした。
よく利用されているソフトですからねぇ。
自分も利用しているので、どんな内容なのかチェックしてみます。

お礼日時：2007/12/16 06:09

No.5 回答者： waros99 回答日時： 2007/12/16 02:42

#3です。

#4さんの言いたいことはわかりますけど、質問はユーザー動作の視点からですね。#4さんのはプログラム動作の視点です。従って的外れになってしまいます。

プログラム動作の視点で言うとしたら、CPUがプライマリスレッドの処理を開始した時点ですね。あるいは、脆弱性の悪用でよく出てくるオーバーフロー系ならジャンプ先のアドレスの命令を読み込んだ時点ですね。

で、利用者のPCに取り込んだ時点では「感染」ではなく、言わば「保菌」ですね。

この回答へのお礼

ありがとうございます
確かに知りたいのは、プログラム動作からの視点です。

よく考えると「感染」という言葉も一般に出回って久しいですが、
曖昧な代名詞だったのかもしれませんね。極端に言えば一般的には「侵入」「感染」「活動」など全部合わせても感染なんてイメージかもしれませんね。

お礼日時：2007/12/16 06:44

No.4 回答者： ryu-fiz 回答日時： 2007/12/16 01:34

個人的な意見としては…全部違うと思います。

ウイルスなどのような悪意のあるプログラム＝マルウェアは、悪事を働くためのプログラムです。作者が意図した形で『実行』されない限りは感染したとは言えないと思います。

例えば、(6)のようにダブルクリックして開いた場合であっても、ウイルス対策ソフトのような防御に引っ掛かり、その実行が遂行される直前で止められた場合には、致命的な状態になってはおらず、ファイルそのものを削除するだけであっさり問題が改善する状態にあります。

一方で、Lhaplusの脆弱性絡みのケースのように開いたとたんに感染ということもありますし、以前はOutlook Expressでメールをプレビューしただけで感染、なんてのもありました。

つまり、どの時点で『感染』したかを決定付ける最も重要な要素はユーザーがどのような操作をしたか、よりも、作者の意図した動作が実行されたかどうか、ということになるのではないかと。

まぁ…何をもって『感染』と呼ぶかは難しいところがあります。線引きの仕方によっては利用者のパソコンに入り込んだ時点で『感染』と呼べるのかも知れないですし。

その辺は、例えばここのような質問サイトで『～に感染しました』という質問をどう扱うのかにも影響して来ます。質問者さん自身は『大変なものに感染してしまった』という意識で質問して来ていても、実際はただ単にブラウザのキャッシュに読み込まれただけの状態であり、発症も何もしておらず、キャッシュそのものをクリアしてしまえば何ら問題がない状態、なんてことも少なくない訳です。

この回答へのお礼

ありがとうございます。
このような回答があることは覚悟していました。
そうですよね。ウィルスと言ってもいろんなタイプを意味して使われますからね。また、ウィルスに感染したかどうか不安になったというレベルでもウィルスに感染したと言い切って質問される方もいますからね。

お礼日時：2007/12/16 06:18

No.2 回答者： goold-man 回答日時： 2007/12/15 06:08

質問と関係ありませんが、（ウィルス感染には関係あり）参考URLをご覧ください。

Web経由で感染を広げるウイルスもありますから注意が必要です。
メールの圧縮ファイルをクリックするだけで感染するのではありません。
「Web経由でパソコンに侵入、対策ソフトで検出できない場合も」

参考URL：http://pc.nikkeibp.co.jp/article/NPC/20071129/28 …

この回答へのお礼

ありがとうございます。
最近ウィルス対策ソフトを替えたところ、Web経由でのウィルス反応がすぐに出るようになりました。参考URLにもあるソフトでした。
今までは気づかなかったのですが、意外にあるものですね。

お礼日時：2007/12/16 06:01

No.1 回答者： Cupper 回答日時： 2007/12/15 04:49

圧縮ファイルを展開して悪意あるファイルを【開いた時】からです。

圧縮ファイルは展開せずに閲覧可能なファイラー（ファイル一覧ソフト）もありますので注意が必要です。
（Windows XP/Vista のエクスプローラーは標準装備）
実行ファイルでなくともWebを参照する形式のものであれば、ファイルを開いた次の瞬間にwebから悪意あるファイルをダウンロードする物もあります。
（実行ファイルは開くとプログラムが始動します）
ファイル情報を表示するだけでウイルス活動が開始される物も存在しますが
OSやアプリケーションのセキュリティパッチを定期的に適用しているのであれば心配ありません。

むしろwebでサイト上から自動的にダウンロードされて実行するActiveXなどのコントロールコンポーネントの方が怖いくらいです。

■結論
ほとんどの場合６、マウスコントロールの設定によっては５でもウイルスが活動を始めます。
悪意あるファイルの圧縮ファイルをダウンロードしたりファイラーで表示するだけで感染することは、まずありません。

この回答へのお礼

ありがとうございます
WindowsXPなどの標準の圧縮ファイルの観覧もやはり、展開したと同等だったんですね。

お礼日時：2007/12/16 06:50