このような迷惑なプログラムはマルウェア(Malware)と総称され、多くのひとに迷惑をかける目的で作成されました。
ウイルスってなに?
IPAのコンピュータウイルス対策基準 - ウイルスの定義通商産業省(現在の経済産業省)のコンピュータウイルス対策基準 第952号)(最終改訂2000/12/28)が元になっています。IPAのウイルス定義三原則ともよばれているようです。
第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を一つ以上有するもの。
(1)自己伝染機能
自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能
(2)潜伏機能
発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
(3)発病機能
プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能
(1)はワーム機能です。メールなどを利用し、またはLANなどを経由してネットワークに拡散するという意味です。
(2)一定の日付になると破壊活動を行ったり、特定の操作を行う事で発病する機能です。
(3)いわゆる破壊活動のことです。
ウイルスはただ拡散するだけのAliz.A(ワーム機能のみ)や、KLEZなどの3つの全ての条件にあてはまるものがあります。
IPAからリンク掲載の許可を得ていませんけど、とりあえず引用元のリンクはこちら。
http://www.ipa.go.jp/security/antivirus/kijun952.html
ウイルスに感染するとどうなるの?
その症状は多様です。
拡散するだけで実質的な被害は生じないウイルスもあります。
パソコンのファイルの削除、ハードディスクのフォーマット、BIOSの書き換えなどが起きることもあります。
現在のウイルスはメールでの感染が多いようです。Outlook ExpressやOutlookのアドレス帳から抜粋したメールアドレスに対して、自分自身のコピーを送信するウイルスが多いです。これにより友達や取引先に多大な迷惑をかけ、あなたの信頼を損なうことになります。
ウイルスに感染したパソコンはどうなるの?
ルーターのランプが点滅し、どこかにデータ−を送っている(各種)
短時間でシステムリソース不足になり、応答しなくなる(Alcarys.B、その他多数)
パソコンのファイルを破壊(各種)
ハードディスクを意味の無いデータ−で上書き(各種)
BIOS書き換え(Hybris、 Chernobyl、 NewLove(?))
大量のファイル・フォルダを作成してHDを埋め尽くす(SirCam、W32.HLLC.Nan)
アンチウイルスソフトメーカーのサイトに接続できなくなる(MTX)
アンチウイルスソフトが急に使えなくなる(KLEZ、Maldal、Gonerその他)
パソコン以外にもウイルスに感染するの?
携帯電話やPDA端末にも感染するウイルスもあります。
ウイルスリスト - より理解を深めるために - 2
ちょっと古い話題ですけど、IPAのレポートも参考になるかもしれません。
WindowsCE上でのウイルスの動作に関する調査報告書 平成12年2月
トロイ・トロイの木馬(Trojan Horse)ってなに?
よく使われるたとえ話ですけど。トロイ戦争で使われた、兵士が中に潜んで相手を城内から攻撃する木馬より派生した用語のようです。
私流の定義は、[ユーザーに望まれない隠れた機能が潜む、悪質なプログラム]です。広義ではAd-Wareとしてのスパイウェアを含むかもしれません、でもここではバックドアを作成するようなタイプのものを[(狭義での)トロイ]として扱うことにします。このようなタイプのトロイはRemote Access Trojans(RAT)と呼ばれます。
定義の話題に戻ります。トロイの木馬自体は、増殖・感染活動を行わないという定義もありますけれど、実際にトロイとして定義されているのにも関わらず、ワーム活動(感染活動)を行うトロイもあります。そしてそれらのうち幾つかは、トロイではなくウイルスと呼ばれます。同様に「ワームはウイルスじゃない!」なんて定義をする人もいるため、ちょっとややこしいですね。
さらにややこしいことに!
アンチウイルスソフトメーカーによっては、スパイウェアやハッキングツール、ウイルス作成ソフトをトロイとして検出してします。
これらはトロイではないのに、です。
トロイは一見無害なプログラムを装って・もしくは他のアプリケーションに組み込まれて、誰かのパソコンに感染します。その脅威は破壊活動だけではなく、感染パソコンのデータ奪取、遠隔操作などの目的で作成されたものもあります。
メジャーなものはアンチウイルスソフトで検出できますけれど、検出できないトロイも数多く存在します。
NOTEPAD(QAZ)、SubSevenなどが有名です。
デフォルトで利用されるポートごとにまとめたリストがありましたので、紹介します。
Trojan list sorted on trojan port
トロイの木馬に感染したら、どうなるの?
今あなたの目の前にパソコンのディスプレイがあるとしますね。
いきなりチャットのような画面が表示され「Hellow」なんて英文のメッセージが表示されるかもしれません。また気付かないうちにどこかのサイトに接続され、あなたのパソコンで荒らし行為をされたり(遠隔操作機能)。
またメールのファイルやログインのパス、秘密の日記などを全世界へ公開している状態になります。
トロイの木馬に感染させるための方法の例
このような悪質なプログラムの被害に遭わないようにするため、どのような仕組みなのか簡単に解説します。
[サーバープログラムの作成]
サーバープログラムを用意します。サーバープログラムは実行ファイルをダブルクリックして開いてしまうと、感染して被害者になってしまうプログラムです。
[相手のパソコンに感染させる]
これを実行ファイルにバインドします。ちょっとしたゲームの実行ファイル(exeなど)にバインドして送りつけると、そのファイルを受け取った相手が実行ファイルを開いたとき、そのゲームが実行されるのと同時に、トロイのサーバープログラムが陰でインストールされます。
ほかにもInternet Explorerの脆弱性を攻撃し、どこかのサイトを見ただけでダウンロード・インストールされる方法もあります。
[感染したあとには]
加害者はクライアントプログラム(被害者のパソコンを操作するプログラム)を使って、被害者のパソコンを操作します。
感染したパソコンは、特定のポート(NetBusならデフォルトポートの12345(TCP)や他の指定したポート)が勝手に開かれることになります。
ここで重要なのは、デフォルトポート以外のポートも使えるように、サーバープログラムを作成するときに指定できることです。
80や110などにも変更できます。
なぜデフォルト以外のポートに変更させるのでしょう?それは「自分が標的にした被害者を、他の人に壊されたくない」からなのかもしれません。
中には特定のポートを開かせず、Windowsが標準でOpenにしているポートをそのまま待ちうけポートとして利用するトロイもあるみたいです。
Rootkitってなに?
トロイの一種です、でもとっても高度な仕組みで機能します。そのためここでは個別に解説してみます。感染しているパソコンでは、タスクマネージャからプロセスを確認してみても、表示されないこともあります(Trojan.Slanret.Bなど)。
これはRootkitがWindowsをだましているからです。
デバイスドライバとしてインストールされたRootkitは、OSが起動するときに早い段階で起動します。
そしてWindowsのAPI(Application Program Interface:OSが動作するためのさまざまな動作のため使われる命令を呼び出すためのもの)をフックして乗っ取ります。そのためファイルを探したりレジストリのキーを検索しても、あるはずのRootkit関連のファイルやレジストリのキーが見つからないかもしれません。
アンチウイルスソフトでは駆除できないこともあります。
アンチウイルスソフトメーカーのRootkitの情報は、確実ではないでしょう。
作成される実行ファイルの名前やレジストリの起動エントリや設定ファイルの名前は、Rootkit作成ツールによって簡単に変更できるからです。
メーカーによって公開される情報では、Rootkitの名称をそのまま書かないようにして変更しています。これは検出名をもとにして検索エンジンで調べられてRootkitの配布を助長するのを避けるためなのでしょう。
RAT機能(遠隔操作機能)、キーロギング機能、パスワードをメールで指定したメールアドレスに送信する機能などがあります。
もしあなたのパソコンが感染したなら。リカバリーするより他に、有効な対策はありません・・・
アドウェア(Adware)ってなに?
Ad-Ware、Adware(広告収入の目的で配布されるもの)をスパイウェアとして扱うひともいるみたいです。これはスパイウェアとしてはたらくアドウェア(Adware)があったという過去の歴史によるものなのかもしれません。
ユーザーの個人情報を抜き取るようなものでなければ、アドウェア(Adware)をスパイウェア(Spyware)として扱わない風潮になっています。でも迷惑であることにはかわりませんね。
わたしはユーザーの了承を得ないでインストールされることが多いため、(広義の)トロイに含まれると考えています。でもここではトロイ・スパイウェアとは別にして扱うことにします。
Adwareの主な製作目的は広告収入でしょう。
パソコンを起動直後に強制的に広告をポップアップ表示させたり、ブラウザ(Internet Explorer)の別窓でアダルトサイトの広告を表示させたりします。
スパイウェア(Spyware)ってなに?
悪質なものはユーザーの性格やネットでの動向を把握する目的で、どのサイトを閲覧したのか配布元にこっそり通報したり。なぜこのような悪質な機能を兼ね備えた危険なアプリケーションを配布する企業が、野放しのままなのかわかりません。。
確かに対象とする購買層にのみ選択的に広告を表示した方が、効率は向上します。つまり子供に女性服の広告を表示しても、購入には結びつかないでしょ?でもやっぱり迷惑です・・・
またユーザーに無断でパソコンの機能を[拝借]する機能がついているものもあります。これにより断りも無く、[XXXのため、あなたのパソコンで協力してください]みたいなプロジェクトに、勝手に参加させられたりするのかもしれません。
スパイウェアのリストを作ってみました。ちょっと情報が古いかもしれません、近いうちに更新しておきます・・・
スパイウェア(Spyware)とマルウェア(Malware) - 望まれないプログラム
マイクロソフトの対処法ページは、あまりにも不十分です・・・
827315 - スパイウェアまたはアドウェアなどが原因で予期しない動作が発生する
ドロッパーってなに?
感染しますと、複数の異なるウイルス(もしくはウイルスの感染を助ける役目のファイルやバックドアツール)をインストールさせるウイルス。KLEZのELKERNやMTXのトロイサーバープログラムなど。
またマクロからウイルスを呼び出させたりするもの(Alcarys.C)。
ブラウザハイジャッカー(Browser Hijacker)とブラウザヘルパーオブジェクト(Browser Helper Object、BHO)
ブラウザハイジャッカーとブラウザヘルパーオブジェクトは、似ているように感じられるかもしれません。
ここではサイトを見ただけで強制的にインストールされるようなものをブラウザハイジャッカー(Browser
Hijacker)、Internet Explorerの機能拡張のための便利ツールとして配布されるようなものをブラウザヘルパーオブジェクト(Browser
Helper Object)として扱います。
でもBHOを装っているけど、実際はBrowser Hijackerそのものであることも。
[注意]
ブラウザヘルパーオブジェクト(Browser Helper Object、BHO)には悪質な機能がないものもあります。「BHOはすべてマルウェア」という思い込みは、過剰な反応かもしれません。
Internet Explorerのホームページ(Internet Explorerを起動したときに最初に表示されるページ)を変更したりします。表示されるページはほとんどの場合は、アダルトサイトや変な検索サイトです。
また変な広告を表示させたりすることもあるかも。
あなたがどのようなサイトを見たのか記録して、その情報を配布元に送信してしまうものもあります。
このような設定を変更されても、あなたが修復できないようにしてしまう悪質なものがあります。いちばん早い解決法は、Internet
Explorerのアンインストールなのかもしれません。
ブラウザハイジャッカー(Browser Hijacker)として、Cool Web SearchやXupiter
toolbarなどが有名です。
キーロガー(Keylogger)ってなに?
キーロガーはパソコンに入力した内容(キーログ、キーストローク情報)を保存して、それを第三者がこっそり抜き取るために使われます。
あなたが入力したIDやパスワード、クレジットカードの番号などはすべて抜き取られてしまうかもしれません。
このような悪質なソフト、嫌ですね・・・でもログオンパスワードやBIOSパスワードなど、OSが起動する前に入力されたキーログは記録できないかもしれません。これはOSの起動前には、ソフトウェアは起動できないからです(例外もあるかもしれません、でもよくわかりません・・・)。
ネットカフェのパソコンにキーロガをインストールして他人の暗証番号を入手し、シティバンクの口座から1600万円を抜き取った事件がありました。
ネットカフェは使わないから安心?それは違います・・・
無害なファイルに見せかけて送りつけたり配布されることもあるかもしれません。
そして集めた情報は、あなたが気付かないうちにネット経由で回収されることもありますから。
キーロガー機能があるウイルスとして、W32.Badtrans.B@mmとW32.Bugbear@mmが有名です。
キーロガーに感染したときの症状のひとつとして、ひらがなを入力したのに、アルファベットとひらがなが混在した文章が打ち出されることがあります(日本語に対応していないツールなのでしょうか?)。
検出するためには、どうしたらいいのでしょう?
Wordやnotepadを起動して、アルファベットで意味不明の文字列をキーボートから入力してみてください、ambkjwetやqpvrhxbなどです。
そしてこの文字列を含むファイルを検索してみてください。
でもこの方法は確実ではないかもしれません。
検出にはセキュリティ対策ソフトをつかうのが近道でしょう。
スパイウェア検出ソフトのペストパトロール(PestPatrol)が対応しているみたいです。
また海外で有名なキーロガー対策ソフトとして、Anti-keyloggerという製品があります(有料です。でもスキャンするだけならダウンロードしてそのままお試し版のトライアルとして使えます)。
悪質なソフトウェアだけではなく、ハードウェアによるものもあります。たとえばパソコンのPS2端子とキーボードの間に接続してつかう製品の広告が、ネットワーク管理者向けの雑誌に掲載されていることもよくあります(どのような目的で使うのでしょう?)。
もしあなたのパソコンからキーロガーが検出されたとき。
あきらめてOSをリカバリー・クリーンインストールして、オンラインショッピングやWebメールのパスワードやその他の考えられるかぎりのものを変更するようにおすすめします・・・
悪質なクッキー(Cokkie)
クッキーはユーザーを識別したりするための、元々は怪しいものではない機能です。
オンラインショッピングやWebメールなどでは必須ですね!
あるサイトを見た回数やその日付を記録するくらいなら、ありがちですけど。
あなたが見たサイトで作成されたクッキーが、他のサイトに接続したときに読み込まれてしまったりすることもあります。このようなクッキーをUser
Tracking Cookieとよびます。これでは事実上、あなたのネット上での行動が筒抜け?
極端に長い有効期間(10年など)を設定されたクッキーは、アンチスパイウェアソフトでスキャンしたときに警告がでることがあります。
どのような危険性があるのか、よくわかりませんけど。
おなじ広告を何度も表示させないように、クッキーを使うことがあります。このようなサイト運営者が問題ないと考えがちな目的であっても、嫌がって避けたいと考えるユーザーがたくさんいるのも事実です。