ウイルスの分類
ファイル感染型ウイルス - 追記・上書き
ウイルスがファイルに感染するとき、ファイルは追記・上書きのどちらかの方法で改変されます。
付加されたコードを削除しますと、もとのクリーンなファイルを取り戻せるかもしれません。
一例としてSirCamが送信する添付ファイルからバイナリエディタを使ってウイルスのコードを除去し、元のファイルを見てみる危険な遊びが流行しました。
[注意]
もちろん元々あったファイルに感染しないで、「100%ウイルスのかたまり!」のようなファイルをつくるウイルスもあります。
もちろん元々あったファイルに感染しないで、「100%ウイルスのかたまり!」のようなファイルをつくるウイルスもあります。
追記型:
既存のファイルにウイルスのコードをつけ足します。ファイルサイズは大抵は増えますけど、増えないこともあるみたいです。付加されたコードを削除しますと、もとのクリーンなファイルを取り戻せるかもしれません。
一例としてSirCamが送信する添付ファイルからバイナリエディタを使ってウイルスのコードを除去し、元のファイルを見てみる危険な遊びが流行しました。
上書き型:
既存のファイルの一部または全体を、ウイルスのコードと置き換えます。元のファイルのコードが上書きされてしまいますと、アンチウイルスソフトでも、ファイルは元どおりにはなりません。ドライブのブート領域に感染するウイルス・システム領域感染型ウイルス
ブートセクタはFDの最初に位置し、ブートレコードを含む領域です。ハードディスクのマスターブートセクタ(Master Boot Sector)にはマスターブートレコード(Master Boot Record)が含まれ、OSを起動するパーティションを決定し、そのパーティーションのブート・セクタから起動に至ります。
もし感染したフロッピーディスクを使ってパソコンを起動すると感染するため、フロッピーディスクからの起動ができないようにBIOSを設定するようにと、注意されたこともあります。
フロッピーディスクなどのやりとりを通じて感染するため、最近はほとんど見かけないタイプです。
Stoned、Ginger、HIKARU.A、Wyxなど。
メモリ常駐型ウイルス
メモリ上に居座り、駆除がやや難しいウイルスです。コンパニオン型
既存のファイルを削除(もしくは改名)し、その後自身をそのファイルの名前で保存するウイルス。ロジックボム
日時や特定の操作、その他のなにかの条件が整うと発動する、ウイルスや破壊ツールのこと。また行き過ぎた違法コピー対策のために、怪しいサイトに流出しているIDやシリアルナンバーを利用しようとしますと、パソコンを破壊するという困ったアプリケーション。これらのIDやシリアルはブラックリスト化されているらしいです。WinGroove(バージョンは不明)、FileVisor4、パソファミ、NextFTP、FireAnvil。
デマウイルス
ある日突然「[ABC.EXE]というファイルはウイルスです!」という内容のメールが送りつけられたこと、ありませんか?このデマが書かれたメールを送信している人は、デマだと気付かずに善意から送信しているのかもしれません。しかし自分で確かめもせずに転送する人は、迷惑なだけです。
Windowsの既存のファイルは、どのパソコンにも入っているもの。このような嘘を信じて削除してしまってから、後悔しないように気をつけてください。
マクロウイルス
MicrosoftのOffice製品のマクロ機能を悪用したものです。VBA(Visual Basic for Application)はExcelやWordなどの製品上でマクロ用の言語として用いられています。よく混同されていますけど、VBS(Visual Basic Script)はInternet Explorer上で動作するスクリプト言語であり、VB(Visual Basic)はWindows上で動作するアプリケーションを作成するためのものです。
Word BasicとはVBAとな何の関わりもない言語で、Wordのマクロを作るためだけに生まれてきました。Word97ではVBA5が利用できるようになりましたけど、Word Basicで作成されたマクロはアップコンバージョン処理をしてVBA5に変換しなければ利用できなくなりました。この変換がうまくいかない事が多かったため、古いWord Basicで作成されたウイルスは、アンチウイルスソフトでウイルスだと検出されるのにも関わらず、感染活動を行えないみたいです。
またExcelは、ver5.0でもうすでにVBAが搭載搭載されていました。
Wordマクロウイルスとしては、1999年のMelissaが有名です。ExcelのマクロウイルスはLAROUX系の亜種がいまだ出回っているようです。
また複数のプラットフォームに感染するマクロウイルスも存在します。例えばTristateはWord、Excel、Power Pointに感染します。
Microsoftのマクロウイルス対策ページはこちら。
スクリプトウイルス
スクリプト言語とはVBScript、JavaScript、Perlなどの、コンパイルが不要の言語です。動作するためにはインタープリターというものが必要です。ActiveXコントロールやJavaアプレットは、スクリプト言語とはちがいます。
VBScriptとJavaScriptのインタープリターとして、あなたのパソコン上で動作させるためのWSHやInternet Explorerがもう準備されているはずです。
簡単に改変できるので、いたずら目的で流行中のものを改変して配布するひともいるみたいです。
JavaScript・アクティブスクリプト
Netscapeで実装したJavaScriptをInternet Explorer上で機能するようにしたもの。Javaではないです。WSHにより拡張子がjsのファイルとして動かせますけど、単体のファイルでウイルスとして働く例はわかりません。
サイトのhtm・htmlファイルから機能するFlug(JS.Exception)など。
VBScriptウイルス
HTMLメールの本文にVBScriptが記載されているBubbleboyや、VBSファイルをメールに添付するLoveletterなど。最近はほとんど見かけません。
VBScriptはMicrosoft社によって開発されたスクリプト言語で、Internet Exploler上で動作(この場合ブラウザをインタープリターとしています)。またWSH (Windows Scripting Host)というインタープリターがWindows98以降には標準で搭載されていますけど、これによりVBScriptファイルとして動作できるようになります。
「VBSのファイルなんて扱わない」というひとは、WSH無効化の方法と、VBSの関連付けを外す方法を参照して対策してください。
[注意]
メーカー製パソコンには、VBSファイルがデフォルトで存在しているものがあるようです(どんな機能のために使われているのかは判りませんけど)。上記の操作は操作はあくまでも"自己責任"で行ってください。特定の機能が無効化されて不具合が生じたとしても、責任は取りかねます。
メーカー製パソコンには、VBSファイルがデフォルトで存在しているものがあるようです(どんな機能のために使われているのかは判りませんけど)。上記の操作は操作はあくまでも"自己責任"で行ってください。特定の機能が無効化されて不具合が生じたとしても、責任は取りかねます。
アンチウイルスソフトの検出を回避するしくみ
レトロウイルス(Retrovirus)
アンチウイルスソフトを停止させたり、定義ファイル・パターンファイルを破壊してスキャンができないようにするウイルス。感染するとたいへんですね・・・でも2005年現在、たくさんのウイルスがこのような機能を持っています。
もしアンチウイルスソフトへの攻撃が一時的なものなら、セーフモードでOSを起動するときにはアンチウイルスソフトで正常にスキャンできるかもしれません。
W32.Maldal.D@mm、W32_Maldal_C@mm、W32.Goner.A@mm、W32.HLLC.Nan、 W32.HLLW.Winevar、W32.Bugbear@mmなど。
[注意]
アンチウイルスソフトは予防のためのもとと考えてください。
レトロウイルスに感染した後では、その効果は十分には期待できません。
アンチウイルスソフトは予防のためのもとと考えてください。
レトロウイルスに感染した後では、その効果は十分には期待できません。
ステルス型ウイルス
アンチウイルスソフトによる検出を避けるため、スキャンがウイルスのファイルへ差し掛かるときに、一時的にファイルの位置を移動させたり。またスキャン時に無害のように見えるファイルを差し出して、ウイルス感染ファイルにスキャンが及ばないようにするそうですけど、詳しいことはわかりません。
サイズステルス
アンチウイルスソフトのウイルス定義ファイルは、ウイルスのファイルサイズが変わると既存のウイルスでも対応できなくなることがあります。最近のものとしてSimile.Dなど。
ポリモーフィックウイルス(Polymorphic virus)、ミューテーションウイルス(Mutation virus)
ポリモーフィックエンジンという、ウイルスの偽装化ツールによって処理されたウイルス?ウイルスのコードを暗号化した部分と、それを元通りにする(復号化)部分、また暗号化する部分からできているウイルス。
暗号化されたウイルスコードは頻繁に形を変えるため、アンチウイルスソフトのSignature(パターンファイルとも呼ばれ、ウイルスの情報を記録したファイルです)でのスキャンでは検出できないこともあります。でもそのほかの部分は形が変わらないので、もう知られているものならウイルスファイルを検出できるかもしれません。
アンチウイルスソフトによるファイルの手動スキャンでエミュレーション技術でファイルが展開されるとき、そしてウイルスが実際に実行されるときには、暗号化されている部分は元通り(復号化)になりますから、対応済みのウイルスならアンチウイルスソフトの常駐監視で検出されるでしょう。
メタモーフィックウイルス(Metamorphic virus)
ウイルスファイル自身のコードを並び替えたり、間に意味のないコード(ジャンク)を挿入して、その形を変えていきます。ウイルスの感染方法
ネットワーク感染・LAN感染 - 共有ファイルクラック型
LAN上にフルアクセス(書き込み可能)な状態の共有ファイルを発見すると、そこにウイルスを書き込むもの。この機能を持ったウイルスに感染すると、LANに接続されている複数のパソコンがまとめて感染します。共有フォルダにパスワードが付いていると(それがAAや123といった単純なものでも)、ネットワーク感染の可能性はいくらかは低減されます。
Toal.A、Nimda.A、Magistr、Bymer、Notepad、SirCam、KLEZなど。
ネットワーク感染・LAN感染 - Exploit利用型
OSの脆弱性(セキュリティホール)を攻撃して感染するウイルスです。Windows Updateをしていれば大丈夫?それは違います。
このようなセキュリティホールを付いた攻撃には、マイクロソフトの修正プログラムリリースは間に合わないこともあります。
未知の攻撃でも、ルーターでのフィルタリングやパソコンにインストールしているファイアーウォールで防げることもあります。
インターネットウイルス - ブラウザ(Internet Explorerなど)から
インターネットウイルスは、あまり使われているのを見かけない用語です。ブラウジングしている時に、トラップを仕掛けられたサイトに引っかかったことはないですか?2005/1現在、このような罠は広く存在します。
[注意]
この項目の説明は2003年ころの情報をもとにしています、近いうちに書き直す予定です。
この項目の説明は2003年ころの情報をもとにしています、近いうちに書き直す予定です。
ブラウザでインターネット利用時に感染 - Active X コントローラー系
Active Xコントローラーをダウンロードさせ、ウイルス作者の意図した操作をサイト閲覧者のパソコン上で行わせるものです。署名があれば安心?違います。電子署名はそのサイトが確かに存在することを証明はできますけど、そのサイトが信頼できるかを証明するものではありません。
ブラウザでインターネット利用時に感染 - Java Script系
例えばFlugはパソコンを二度と起動できないようにレジストリを改変します。これは本来JavaScriptからは呼び出せないはずのActive XコントローラーにアクセスできるというMicrosoft VMのバグを利用したものです(MS00-075)。アダルトサイト強制接続系トラップの解説を他のページに書いています、ぜひ参照してください。こちら。ブラウザクラッシャー
ウイルスの定義には当てはまりません。感染活動も起きません。目だった被害はありませんけど、パソコンがクラッシュすることがあるかもしれません。フロッピーディスクドライブから怪音が聞こえるのは、よく知られているテク。メーラー(Outlook Expressなど)を複数起動されるのはとても負荷をかけますから、パソコンが不調になることもあります。
フロッピーディスクドライブに連続的にアクセスするブラウザクラッシャーに引っかかって、フロッピーディスクドライブが壊れたひともいました、ですから無害とは言い切れないみたいです。