1. ２００８年 １２月 １９日 アリエス勉強会 久保

2. コンピュータウィルスについて

3. 第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を一つ以上有するもの。 (1) 自己伝染機能 自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能 (2) 潜伏機能 発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能 (3) 発病機能 プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能 ウィルスの定義

4. ウイルスの作り方 １．アセンブリ言語 非常に高度で複雑な機能を持ち合わせたウイルスを作成できる ポリモフィズムやメタモフィズムなどの機能を持ったウイルスは、 アセンブリ言語を用いなければつくれない。 ２． VBScript スクリプト言語であるためあまり複雑な感染活動はできないが、 基本的なウイルス活動を行うには十分な機能を備えている。 比較的簡単に作れる。 Melissa や iLoveYou などの有名なワームは VBScript で作成されている。 ３．ウイルス作成ソフト プログラムの知識が全くなくてもウイルスを作成することができる。 オプション機能などを用いて自分が作成したいウイルスを思い通りに 作成できる。 アセンブリ言語を利用したウイルスを作成できるソフトもあり、 非常に高度なウイルスを簡単に作れてしまう。

5. ウイルスの区分 ウイルス ユーザの意図と無関係に自己複製を行い、不利益をもたらすプログラム。 他のファイルに感染することにより、その機能を発揮。 ワーム それ自身が独立して実行可能なプログラム。 あるシステムからあるシステムに感染する時に宿主となるファイルは不要。 ネットワークを介し、攻撃先のセキュリティホールを悪用して侵入する事が多い。 トロイの木馬 一見有用なアプリケーションであるが、その一部にコンピュータのデータを 盗み出す等他の不正な動作をさせる機能を備えたもの。 ロジックボム 指定時刻の到来など、システム上における条件が満たされると自動的に動作開始。 多くはデータの破壊・盗用などを行った後、最終的に自分を消滅させる。 ボット バックドアなどの機能を高度に統合したものを特にボットと呼ぶようである。 また、このボットにより形成された不正行動のためのネットワークを ボットネットと呼ぶ。検索エンジンとは別物。

6. プログラム・ファイル感染型 ウィルスの種類 ブートセクター感染型 ハードディスクのブートセクター（システム領域）に感染。 PC 起動時、ブートセクターが最初に読み込まれるのでメモリに常駐できる。 複合感染型 プログラム感染型とブートセクター型の両方の特徴を備えている。 感染力が強い。 メモリー常駐型 ：メモリを通じてコンピュータを制御。感染ファイルを 実行しなくても感染、発病。 メモリー非常駐型 ：感染ファイルを実行すると、他に感染できるファイルを 探し出し、そのファイルにウイルスプログラムを潜入させる。 上書き感染型 ：プログラムファイルの先頭に上書きしてウイルスを追加。 上書きされるのでオリジナルのコードは復旧不可能。 添付感染型 ：プログラムファイルの最後にウイルスを追加。 プログラム自体の大きさが変わるので発見しやすい。

7. ウィルスの種類 Back Door ( バックドア ) （ウイルスではないが、類似したもの） 特定のプログラムを仕掛けることで、そのマシンを遠隔操作するツールの総称。 相手のマシンはまるで自分の手元にあるかのように自由自在に操ることが可能。 相手のマシンを経由してハッキングなども出来る。 Ddos などもできるようになる。 バックドアを仕掛けさえすれば、まず発見されることはない。 マクロウイルス Office のマクロ機能を利用して感染を広げていく。 機種や OS に依存せずに感染するため、マルチプラットホーム型と呼ばれる。 Melissa などのワームウイルスもマクロウイルス。 最新の製品はマクロウイルスを防御する機能が付いている。 Batch ウイルス あまり知られていないが、強制フォーマットなどの DOS コマンドを含んだ ものには気をつけなければならない。 Java ウイルス Java アプレットを悪用したウイルス。ブラウザクラッシャーなど、ブラウザ を攻撃するものや、ファイルに感染するものまである。 スクリプトウイルス VBScript を利用して作成されたウイルスの一群。 有名なのは iLoveYou ウイルス。

8. ウィルスの技術 ～アンチウイルスソフトに検出されないために １．ステルス型（ stealth ： steal の名詞形。ひそやかな行動という意味） ステルス戦闘機のようにワクチンソフトの検出を逃れるタイプ。 これに感染したファイルはウイルスに感染しているにも関わらず ファイル全体のサイズが感染前と同じ。 今では古い技術。 ２．ポリモフィズム機能（多様性） 感染ごとに独自の暗号化ルーチンを使用し、自己をランダムに暗号化していく。 ウイルスコードの特徴を比較するウイルス検査プログラムからの発見が 非常に難しいが、現在は新たな検出方法を備えたソフトが一般化。 ３．メタモフィズム機能（羽化） ポリモフィズム手法を超える新しい手法として考案された。 感染ごとに全く違ったコードとなるウイルスを作成する手法。 非常に高度なアセンブリ言語の知識と斬新な発想能力が必要。 ウイルス対策ソフトでは、仮想的な環境に閉じ込めて動作させてみることで、 それがウイルスかどうか判別する。 ４． rootkit 型 OS の カーネル に侵入し、 マルウェア （不正プログラム）自体のファイルやプロ セスに、アンチウイルスソフトウェアなどの他のプロセスがアクセスできな いように隠蔽する。

9. １．メールの添付ファイルは全て疑う ウイルス被害の 80 ％はメールが媒介。 メールアドレスを詐称したり、テキストファイルや画像ファイルなど ウイルスに感染するはずのないファイルに見せかけた添付ファイルを 送ってくるパターンが多い。 ２．セキュリティパッチを当てる ソフトウェアにセキュリティホールがあるとつけこまれる。 アップデートすることで、最新のセキュリティパッチをあてておく。 ３．ウイルス感染の兆候を見逃さない ・システムやアプリケーションが頻繁にハングアップ ・システムが起動しない ・ファイルが無くなる。見知らぬファイルが作成される ・タスクバーなどに妙なアイコンができる ・いきなりネットに接続される ・自分の意図しないメールが送信される ・直感的にいつもと何かが違うと感じる ４．アンチウイルスソフトを導入する ※ バックドアに関しては、専門のソフトがあるので利用してみる。 ウィルスの防ぎ方

10. おわり