マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話

お問い合わせ履歴

電話(英語)

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

コラム : ワクチンを入れてもトロイの木馬は起動する!?

2017年11月29日

株式会社Doctor Web Pacific


アンチウイルスはマルウェアからの保護する手段として最も一般的ですが、それは唯一の手段とはいえません。例えば、ワクチン(免疫)があります。

かなり前に、ウイルス対策とほぼ同時に、ワクチンが登場しました。その後、他のファイルに感染することで知られているウイルスが、最も一般的な悪意のあるコードであることがわかりました。ユーザーの立場からすると、ファイルを侵害されてしまう前に、過去、そのファイルにウイルスが感染しているかどうかをチェックすべきだと考えるのは筋の通った考えです。

ワクチンの存在が本当なら、ファイルを感染させる前にウイルスが探すデータの種類を判断し、そのデータをファイルに追加できれば、感染することはありません。

ここで、少し話を変えます。

Doctor Webにはポリファージプログラムがあります。

これは主に、コンピュータの世界で比較的近年現れたポリモーフィックウイルスを無力化するために設計されています。一般に、Dr.WebはAidstestアプリケーションと同様にディスクをスキャンしてウイルスを削除します。プログラムはさまざまなウイルス情報を収集したものによって動作するため、同じタスクは2回実行されません。

Dr.Webは、Aidstestによって対処できない複雑な突然変異ウイルスを効果的に無力化することができます。Aidstestとは異なり、Dr.Webはコード内の変更を検出できます。暗号化し、圧縮されたファイルの内容を抽出し、ワクチンの偽装を発見することで、新しい未知のウイルスに感染したファイルを検出できます。これは、強力なヒューリスティックアナライザを使用して実行されます。

しかし、ワクチンは机上でうまくいっているにすぎません。ワクチンはファイルを修正できますが、他の解決できない問題を引き起こします。

  • ウイルスは控えめに言ってもたくさんあります。すべてのウイルスの重要な特性は、保護を必要とするファイルに書き込むと、巨大なデータを最終的に生成します。そしておそらくそれはもう使えません。

    これまでのワクチンでは、誤動作したワクチンがユーザーデータに重大な損害を与えていたため、今日ではワクチンの使用がほとんどなくなっています。

  • 新たに発見したワクチンを含め、すべてのワクチンを1つのファイルに入れた場合、ウイルスシグネチャが実行可能ファイルをハードディスクとメモリの両方にどれだけ大きなものにするか想像してください。 「昔」は、実行可能ファイルは数十に数えられていましたが、今は数千ものファイルがあります。

  • 多くの人々は、アンチウイルスがCPUとメモリリソースを消費していると不満を感じますが、更新後に毎回(例えば、1時間に1回)、保護されたファイルごとにワクチンコードが書き込まれると考えれば、あなたのシステムは堅牢なものになっていると言えます。

  • 今日、多くのファイルには、その完全性を保護するデジタル署名が付いています。ワクチンをファイルに書き込むとファイルが変更され、ワクチンは無署名になりますが、アンチウイルスはアプリケーションの署名に頼らずにスキャンを開始します。これには追加のハードウェアリソースを必要とします。

  • 変更された(本質的には壊れた)ファイルを更新する唯一の方法は、完全に上書きをすることです。 そして、更新のたびにファイルにワクチンを添付する必要があります。つまり、ワクチンアプリケーションは保護されたファイルを監視して変更する必要があります。 そして、これにはファイル操作ドライバと自己保護ドライバが必要です。

  • ワクチンの作成には、アンチウイルスラボで働くウイルスアナリストの方がはるかに多くのスキルが必要です。 マルウェアの署名を作成するには、ウイルスを見つけたからワクチンの開発をするわけではなく、ウイルスがどのように動作するのか、ファイルを調べるときにどのような種類のデータが見つかるのかを理解する必要があります。

そして、最後の命取りはここにあります。ウイルスが常に標的とするファイルを、誰が常に調査すると思いますか?ワクチンがあることを認識している場合、無差別にファイルを感染させることができます。

ですが、それは氷山の一角に過ぎません。ワクチンを使うことで他の多くの問題が解消される可能性は非常に高いです。

トロイの木馬に対するワクチンもあります。しかし、これらはさまざまなシステム分野の特定のファイルまたはマーカーです。彼らの欠点は、上で説明した問題と似ています。

6月27日、セキュリティ研究者Amit Serper氏 は 、Petyaがファイルの暗号化をしていないことを保証する方法があるとツイートしました。 これを達成するための手順は、Web上の多くのサイトで公開されています。 Doctor Webはこの声明を否定しています。

公開情報によると、 Trojan.Encoder.12544 がそのタスクの実行を防ぐために、ユーザーは C:\Windowsにperfcファイルを作成する必要があります。いくつかの記事では、 https://download.bleepingcomputer.com/bats/nopetyavac.bat のために、このタスクを実行するユーザーのためのスクリプトを実行することを提案しています。

Doctor Webは、別名Petyaとして知られている Trojan.Encoder.12544 に対するセキュリティ対策を講じていると主張しています。A、ExPetyaおよびWannaCry-2は、以下の理由により効果がありません。

  1. Trojan.Encoder.12544 が2回目に起動しないことを確認するために使用するファイルの名前は、元のトロイの木馬のファイル名によって異なります。 攻撃者がマルウェアのファイル名を変更した場合、C:\Windows内のperfcを使用しても感染からコンピュータを保護することはできません。
  2. 十分なシステム特権がある場合、トロイの木馬はperfcのみを探します。

つまり、たとえワクチンが存在していても、トロイの木馬は起動されます!

#Dr.Web #Windows #anti-virus #security #virus #malware #terminology #technologies #digital_signature

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments