ウイルスはデフォルトブラウザをどのように判断？

このカテゴリーで、ウイルスに感染するとファイアウォールを通過するためデフォルトブラウザを使うことが多いと知りました。


私のパソコンにインストールされているブラウザはInternet Explorer とFirefox で、基本的に使用しているのはFirefoxです。


私のパソコンを見ると

[インターネットのプロパティ]-[プログラム]で

Internet Explorer は規定の Web ブラウザーです。

となっています。

一方、[プログラムのアクセスとコンピュータの既定の設定]-[カスタム]-[既定のブラウザーを選択してください]

では

現在の Web ブラウザーを使う
Internet Explorer
Mozilla Firefox

の3つの選択肢があり、Internet Explorer　ではなく、[現在の Web ブラウザーを使う] が選択されています。


このような条件化では、ウイルスは Internet Explorer と Firefox のどちらを既定のブラウザと判断するのか教えてください。


ウイルスには Internet Explorer をデフォルトブラウザと思わせ、ファイアウォールの設定で Internet Explorer が起動したときには許可するかどうかのポップアップを表示させる設定にして、パソコンがウイルスに感染したかどうかをチェックできる状態にしたいと考えています。

No.6 回答者： nkbox 回答日時： 2013/09/11 19:15

すいません、見過ごしていました　＾＾；

>ポップアップで許可するかどうかを選択するのではなく、ファイアウォールの設定でデフォルトブラウザのネット接続をそもそも不許可にしていても、デフォルトブラウザはネットへ接続してしまいますか。


この設定ならと思いますよね。でも、＞＜なんです。

なぜなら、成りすまし自体(Process Memory Injection)を検知できないと駄目なんです。

この回答へのお礼

ウイルスに感染したあと成りすましに使われるアプリケーションについて、セキュリティソフトのファイアウォール機能で

|ネット接続を許可するかどうかのポップアップ表示
|ネット接続を禁止

のどちらでもブロックは出来ない。


要するに 成りすましによるネット接続にはセキュリティソフトのファイアウォール機能は無意味。

頼れるのはセキュリティソフトのHIPSまたはBehavior Blocker機能だけ、というのが現状ということですね。


今まで、セキュリティソフトのファイアウォール機能において各アプリケーションのネット接続はできるだけ不許可またはポップアップ表示にしていました。

そうした設定は意味がないと判明したのは残念なことでありますが、反面、セキュリティソフトの選択が極めて重要だと理解することにつながりました。

本当にありがとうございました。

お礼日時：2013/09/11 22:38

No.5 回答者： nkbox 回答日時： 2013/09/07 19:35

#2です。

>、ウイルスがデフォルトブラウザを使用した場合にはポップアップが表示されることなくそのままネットに接続されてしまいますか。


はい、その通りです。


>ノートン、バスター、ESETなどメジャーなセキュリティーソフトは、Physical Memory Protection機能を備えているのでしょうか。


まず、国内では定番のウイルスバスターはこうした高度な機能を持つマルウェアにはまるっきり対抗できません。

ノートンといってもNISですが、デフォ設定では防げません。スマートファイアウォールの拡張設定におけるイベント監視で「コードインジェクション」の監視がオンになっていないと防げません。

https://support.norton.com/sp/ja/jp/home/current …


Eset Personal Securityに関してはHIPSのフィルタリングモードが「対話モード」になっていないと防げません。



こうしたすり抜けを図ろうとする高度なマルウェアに関してはBehavior BlockerないしはHIPSで防ぐことになりますが、あくまでも振る舞いによって感知しているため使い手の能力がかなり問われます。マルウェアではない正常なプログラムの動作によっても感知されることがよくあります。ぶっちゃけると、諸刃の剣です。

この回答への補足

>、ウイルスがデフォルトブラウザを使用した場合にはポップアップが表示されることなくそのままネットに接続されてしまいますか。

＞はい、その通りです。


ポップアップで許可するかどうかを選択するのではなく、ファイアウォールの設定でデフォルトブラウザのネット接続をそもそも不許可にしていても、デフォルトブラウザはネットへ接続してしまいますか。

補足日時：2013/09/08 18:50

No.4 回答者： morimu 回答日時： 2013/09/07 18:12

ノートン、バスター、ESETなどメジャーなセキュリティーソフトは、Physical Memory Protection機能を備えているのでしょうか。

カルペルスキーは入らないの？（笑）

No.3 回答者： nkbox 回答日時： 2013/09/07 14:52

#2です。

参考までにバイパスアンチウイルス用改変ツールの画像お見せします。


よく見ると、デフォブラウザへのインジェクション(注入)設定あります。


実はそのほかにもさまざまなオプション設定が用意されています。

No.2 回答者： nkbox 回答日時： 2013/09/07 13:52

こんにちは。

バイパスファイアウォールを書いたのは当方です。


で、


>Internet Explorer は規定の Web ブラウザーです。


これは「既定の」だと思います。


>このような条件化では、ウイルスは Internet Explorer と Firefox のどちらを既定のブラウザと判断するのか教えてください


IEですね。




ちなみに、当方の環境で調べてみました。下部画像。



あと、こういった成りすましを防ぐにはセキュリティーソフトにPhysical Memory Protection機能がないと防げないです。

この回答へのお礼

>Internet Explorer は規定の Web ブラウザーです。
>これは「既定の」だと思います。

自分の間違いに気づくことが出来ました。ありがとうございます(＾ω＾)


>あと、こういった成りすましを防ぐにはセキュリティーソフトにPhysical Memory Protection機能がないと防げないです。


Physical Memory Protection機能がないセキュリティソフトだと、デフォルトブラウザが起動した時に許可するかどうかのポップアップを表示させる設定にしていても、ウイルスがデフォルトブラウザを使用した場合にはポップアップが表示されることなくそのままネットに接続されてしまいますか。


>あと、こういった成りすましを防ぐにはセキュリティーソフトにPhysical Memory Protection機能がないと防げないです。

ノートン、バスター、ESETなどメジャーなセキュリティーソフトは、Physical Memory Protection機能を備えているのでしょうか。

お礼日時：2013/09/07 16:11

No.1 回答者： qy8ls3pt7 回答日時： 2013/09/06 22:57

攻撃側のHPに悪意あるJavaScriptを仕込んでおけば、標的側のデフォルトブラウザが何であれ、標的側の現在のブラウザを特定することは可能です。

http://www.red.oit-net.jp/tatsuya/java/navi.htm

この回答への補足

User Agent Switcher でユーザーエージェントを偽装しても、サイトを訪問したときに、java scriptのコマンドによって実際に使用しているブラウザを特定できるのでしょうか？

補足日時：2013/09/06 23:13