No.3ベストアンサー
- 回答日時:
>コンピュータウィルスって実行ファイルに感染するんですよね?
はい、そういう場合もあるし、そうではなく単独動作の場合も。
ファイル感染型なら追記とかキャビティーとか。
イメージファイルに後から感染するやつはボク自身は聞いたことないです。ただし、単純にウイルスをイメージファイル化するのは簡単です。音楽ファイル感染はあります。
http://iibox.blog123.fc2.com/blog-entry-135.html
ありがとうございます。
リンク先の説明は理解できました。音楽ファイルのコーデックをインストールするかに見せて(コーデックのIE 経由でのインストール要求は、実はActiveX を使った実行ファイルでのインストールに他ならない)、実はウィルスプログラムそのものが起動するという事ですね。コーデックもちゃんとインストールするんでしょうが、それにしてもそういうActiveX を実行する事がやはりウィルス感染と言えると思います。
この場合、音楽ファイルに感染したと言えるのでしょうか?(まぁ言えなくもないか・・・)。
No.9
- 回答日時:
#3です。
>すいません。動画の方はイマイチ(というか全く)理解できません。
そうでしたか。それは失礼しました。一応説明すると、モニタリングツールのProcMonが動作してる状態ではマルウェアは動作をとりやめ、同様にSandBoxie上での起動と察知するやこちらも動作を取りやめてます。そういうことです。解析し難くしてるんですよ要は。
で、動的解析というのは実際に動作させて、そのアクティビティーをつぶさに見るということです。ProcMonでのモニタリングなどがまさにこれに相当します。WireShark等でのモニタリングも当然そうです。これとは対照的に静的解析というのがありまして、これはデバッガなどによるバイバリ解析を指します。ボクはこのデバッガによる解析も以前にここのサイトに動画をアップしています。その時はImmunity Debuggerを使いました。
仮想環境はおっしゃるとおりVirtual PCやVMWare、Virtual Box、SandBoxieなどによる環境です。
毎度ありがとうございます。技術的な側面がとても勉強になります。
モニタリングツールの検出はどうやっているんでしょうね?単に稼働プロセスを列挙して該当するモニタリングツールを見つけているんでしょうか。そういう動作をするソフトならウィルスじゃなくてもありますね(ゲーム用ガードシステムの類とか)。
SandBoxie やSandBox なる言葉は初めて聞きましたが、どういう代物かは理解できました。ただVirtualPC と違って完全仮想化環境では無いようなので、その辺を調査して動作するかしないか見てるんでしょうね。(それとも完全仮想化環境下でも見破るトリックや隠しAPI でもあるのかなぁ)。
動的解析もさることながら静的解析というのはスゴイですね。アセンブラの時代じゃないんだから・・・と度肝を抜かれます。まぁでも、そういう細かい力業でウィルスもまた作られている訳ですが。う~~む。
No.8
- 回答日時:
#3です。
こういうのもあります。というか最近は当たり前のようになってるみたいですけど。
要するに、動的解析や仮想環境での動作を避けるためですよね。彼らにしてみれば当然かな。ちなみにボクは専門家じゃありません。独力でここまできてます。素人レベルでここまでできれば凄いと思いません?
他の人ににも参考になると思うのでオンラインの動的解析サービス紹介します。
http://www.sunbeltsecurity.com/sandbox/
http://anubis.iseclab.org/
なんでこういうの紹介しないんだろ。ここの回答者は。
すいません。動画の方はイマイチ(というか全く)理解できません。
動的解析というのは実行時に解凍(復号化)された実行ファイルに対しても行われるという事を意味するのか、そのプロセスが行う通信を監視するのか、いろいろ想像はするのですが・・・どうも。
仮想環境というのはVirtualPC でしょうか?フリーソフトの類を使う時はVirtualPC 上で動かしたりしますが、ホストOSかゲストOSかは、OS自体には区別できないのではなかったでしょうか?ゲストOS上では良い子を振る舞うウィルスがあるとしたら、どういう仕組みなでしょうねぇ。
あ、もしかして動的解析ってオンライン・ウィルススキャンみたいな事を指しているのでしょうか?
ここまで詳しい回答者は居ないのでしょう。ある種のモチベーションを持ってひたすらに追求する様は立派です。そういう素人風情がリアルプロを軽く凌駕するのは、コンピュータの世界ではよくある事とはいえ、面白いですね。
No.7
- 回答日時:
#3です。
>プログラムのバイナリパターンを既存のウィルスデータベースと比較して、そうであるかないかを判断しているのですよね?
基本はそうですよ。バイトパターン。プラスして最近ではレピュテーションとか。
>ウィルスのプログラムの一部を変更して書き換えるという作業をさしていると思われますが、その認識で間違いないですよね?
はい、そうです。
>このインポートテーブルというのはDLL のインポートの事でしょうか?通信ですからWinSock とか使ってそうだと思うんですが
はい、DLLのインポートです。画面はwininet.dllを選択した状態で示してます。WinSockも使ってます。この画面にはws2_32.dllがスクロールの関係で写っていないだけです。
>自己解凍型の実行ファイルと似たような動作をするのでしょうか。
はい、暗号化を解いで実行するという形になります。
>データベースに乗っていないバイナリパターンであるため、検出されない。という事を意味しているのでしょうか?
はい、そうです。
No.6
- 回答日時:
#3です。
再度失礼します。以下のプログラム改変ツールはまだ紹介したことなかったと思うのでお見せします。どういった改変を行うのかわかるでしょ?
こういった類のものがマルウェアコミュ行けば腐るほど転がってます。
ありがとうございます。
プログラム改変ツールですか・・・。AES やXOR とありますね。自己解凍型の実行ファイルと似たような動作をするのでしょうか。
これらを使うと、ウィルス対策ソフトのデータベースに乗っていないバイナリパターンであるため、検出されない。という事を意味しているのでしょうか?
No.5
- 回答日時:
#3ですけど、
バイパスアンチウイルスってのはアンチウイルスの回避のことです。
ボクは対策ソフトのテスト動画などをよくアップしてますけど、その中で出てくる各対策ソフトで検出できないファイルの実行テストをしてますけど、あれって実は本来はそれぞれの対策ソフトで検出されてしまうファイルを検出できないようにボクがテスト用に加工を加えたものです。すでに何回かそういったプログラム改変ツールの実物画像をここのサイトにアップしています。最近ではオンラインの改変サービスまであります。
ちなみに、以下はある有名なバックドアのインポートテーブル(一部)の画像
こういうのがわからないとマルウェアをより詳しく知ることはできません。プログラムの動作に関連するものだから当たり前ですけど。ちなみに、この画像ではこのバックドアの通信に関するAPIのうち、HTTPとFTPに関するものを示してます。
何度もありがとうございます。勉強になります。
ウィルス対策ソフトでの検出を回避するとの事でしたが、ウィルス対策ソフトはウィルスに感染した実行ファイルの実行時またはファイル列挙時にそのプログラムのバイナリパターンを既存のウィルスデータベースと比較して、そうであるかないかを判断しているのですよね?(古典的な手法だと思われますが、実際にそれしかない?)
検出されないようにするには亜種というか、適度にウィルスのプログラムの一部を変更して書き換えるという作業をさしていると思われますが、その認識で間違いないですよね?
どうもイマイチ理解できないのですが・・・このインポートテーブルというのはDLL のインポートの事でしょうか?通信ですからWinSock とか使ってそうだと思うんですが、この画面の情報からどういう内容が読み取れるのでしょうか?
#本来使われないはずの通信系API がdll より参照されているからウィルスではないかと??
No.4
- 回答日時:
以下のようなこともありますので、一応。
http://itpro.nikkeibp.co.jp/article/NEWS/2010062 …
なお、ついでにですが、最近のバイパスアンチウイルスを可能にするプログラム加工ツールなどでは難読化+ファイル情報改変ができるものがかなり増えてます。プロパティー情報ですね。
なるほど。ActiveX コンポーネットの実行の際に表示される認証確認すらも、信頼するに足らないという事ですか。
もっともこの手のActiveX は以前は仕事でちょくちょく作っていたので、私だけがよくよく注意して見ているのかもしれません。大抵の人は疑う事すら無クインストールしてしまうのでしょう。
すいません。バイパスアンチウィルス~の一文が理解できません。ググっても今ひとつ見つけ出せません。どこか説明したサイト等をご存じないでしょうか?ご説明いただければ幸いです。
No.2
- 回答日時:
>コンピュータウィルスって実行ファイルに感染するんですよね?
そうとは限りません。ExcelやWordのマクロとして潜むマクロウィルスもあります。
http://www.bekkoame.ne.jp/~poetlabo/COMP/Excel/T …
>イメージファイルや音楽ファイルには感染しませんよね?
jpegファイルに仕込まれたウィルスもありました。
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/2 …
音楽ファイルを開くと感染する…というのもありました。
http://orbit.cocolog-nifty.com/supportdiary/2009 …
http://securityblog.jp/news/18.html
ありがとうございます。
誠に申し訳ございません。どの記事も根拠となる理屈が一切省かれているのか、それとも根拠なく書かれているのか、今ひとつ信頼できません。
まるでピュアオーディオのオカルトの文献のようですらあると、私は解釈せざるえません。
仮に事実であるとすると、jpeg や音楽ファイルに見えたものが実は実行ファイルであった、もしくはそれぞれの関連付けされたプログラム自体にウィルスが感染していた(またはウィルスファイルそのものに関連付けがされていた)という道理になると思います。
No.1
- 回答日時:
一例です。
詳しい理屈は、識者にお願いします。
>イメージファイルや音楽ファイルには感染しませんよね?
そんなことは、無いですよ!
過去、有名なところでJPGにウイルスが仕込まれる下記があります。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/2004 …
http://questionbox.jp.msn.com/kotaeru_reply.php3 …
Word、Excelのファイルに感染するマクロウイルスも有名です。(でした?)
>コンピュータウィルスって実行ファイルに感染するんですよね?
これは、少しちがうように思います。
実行ファイルに感染してそのなかにもぐりこむものもあると思いますが・・・・・
たとえば、ノートバッド(notepad.exe)のプログラムをnotepad.comに変え、代わりに同じ名前のNotepad.exeに入れ替わる「Qaz.Trojan」というウイルスのようにウイルスプログラムをそのものを送り込んでパソコンがウイルスに感染するということになります。
http://www.atmarkit.co.jp/fwin2k/insiderseye/200 …
動画サイトにアクセスするとウイルスプログラムをDLさせるサイトのように動画に自体にウイルスがあるわけでは、ないですが、パソコンはウイルス感染することになります。
http://virusbuster.jp/vb2011/case/movie/index.htm
「実行ファイル」に感染するという言い方ではなくパソコンがウイルスプログラムに感染するという言い方のほうが良いと思います。
従って、ウイルス自体は、実行形式のプログラムだと思いますが、感染は、画像でも音楽でも動画からでもパソコンは、感染します。
ありがとうございます。
ただ「Qaz.Trojanの最初の感染は~」の記載を見ると、やはりダウンロードした実行ファイルを実行する事が最初の感染(というかウィルス・プログラムそのものの単体での起動)と見受けられます。
ブラウザであればActiveX コンポーネントを不用意にクリック・アドインへインストールするという動作と思われます。
.com も起動ファイルでしたよね。懐かしいw
このnotepad の入れ替えはOS の再起動時の自動起動を仕組めなかった場合に、もっとも頻繁に使うであろうnotepad を起動に使うという例ですね。これはウィルス感染後の、ウィルス自体の再起動対策であって、初期の感染ではありませんよね。
マクロウィルスは分かります。しかし画像データや音楽ファイルから感染するというのは、依然として理解できません・・・。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- Android(アンドロイド) SDカードのウイルススキャン 1 2023/03/19 09:15
- マルウェア・コンピュータウイルス FlashPlayerの削除とマルウェア感染について 5 2023/02/23 20:52
- Excel(エクセル) ドキュメントに保存していたエクセルのファイルが開きません。 2 2022/12/02 09:38
- 父親・母親 コロナ禍なのに手洗いうがいをしてくれず切実に困っています…どうしたらいいですか? 6 2022/08/06 12:50
- その他(家族・家庭) 家族間のコロナ隔離について。相談です。 私の叔母・叔父・いとこ・祖母(84歳)は4人で住んでいて、祖 5 2023/01/08 13:32
- iPod・ウォークマン・音楽プレーヤー itunes 音楽再生時の音飛び 4 2022/11/30 17:24
- 政治 マスク着用率が世界一位の日本で新規感染者数(陽性者)が世界一になるとかもはやマスクが無意味なことを証 3 2022/09/23 19:23
- 医療・安全 ワクチンを1回も接種していない人々よりワクチンを多く打った人々の方がコロナ等に感染しやす 4 2022/07/22 03:04
- iPad ipadの音楽アプリで「メディアが見つかりません」と言われる 2 2023/05/12 16:26
- 画像編集・動画編集・音楽編集 YouTubeを録音できるソフトを教えてください。 5 2023/02/12 10:19
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
まじで助けてください 凄い恥ず...
-
iPhoneでアダルトサイトを見て...
-
まじで助けてください 凄い恥ず...
-
VPNでエロサイトばっかり見てる...
-
サイトを見ただけでは、ウイル...
-
PC⇔携帯でのEメールを媒体と...
-
ウイルスに感染する方法を教え...
-
vmware 感染
-
ブートセクタ感染のnot-a-virus
-
iPhoneがウイルスに感染してる...
-
ウイルス(ネットスカイAB)に...
-
ファイルを削除しようとしたら ...
-
McAfee マカフィー ウィルスス...
-
マカフィーで必要なファイルが...
-
PCに勝手に出てくるCMを削除したい
-
JS/Packed.Agent.N が検出され...
-
pcについての質問です。wavessy...
-
Everything というフリーソフト...
-
パソコンから勝手に知らない音...
-
コマンドプロントが勝手に起動...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
まじで助けてください 凄い恥ず...
-
iPhoneでアダルトサイトを見て...
-
PCをネットに繋がないで使用危...
-
画像のような表示について(Mac)
-
SDカードのウイルススキャン
-
まじで助けてください 凄い恥ず...
-
インターネットウイルスについ...
-
携帯に「リンクを確認できませ...
-
VPNでエロサイトばっかり見てる...
-
画像の危険性
-
エロサイトをブックマーク(お...
-
BIOSのウイルス感染について教...
-
FlashPlayerの削除とマルウェア...
-
至急お願いします。 僕はノート...
-
パソコン以外にもウイルスは感...
-
iPhoneで、Googleドライブの「...
-
変なメールが届くんです!!
-
欄検眼段について
-
トロイの木馬はWi-Fiルータを通...
-
ウィルス対策などのソフトを使...
おすすめ情報