マイ ドキュメントを参照 ()
 ホーム > サポート 

CA Global Security Advisor 用語集

 @ A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

@

 

@m

多くの場合このサフィックスはウイルス名に付加され、ウイルスがスロー メーラであることを示します。 セキュリティ脅威の評価においては、(一度に単一の感染メッセージまたは時折少数のメッセージの束を送信する)スロー メーラとマス メーラとの間には重要な区別があります(「@mm」も参照)。



@mm
多くの場合このサフィックスはウイルス名に付加され、被害マシンからマス メーリングで自分自身を拡散させるウイルスであることを示します。 セキュリティ脅威の評価においては、(一度に大量の感染メッセージを送信する)マス メーラとスロー メーラとの間には重要な区別があります(「@m」も参照)。


このページのトップへ戻る

A

 

Adware、Ad ware (アドウェア)
ポップアップ/ポップアンダー広告を表示するソフトウェアです。主要なユーザ インターフェースが表示されていないときに表示され、製品とは関係ないように見えます。


Alias (別名)
残念ながら、マルウェア、スパイウェア、またはその他の種類の悪意のある不要なアプリケーションを名付けるための標準的に受け入れられた単一の規則はありません。 そのため CARO などの非公式なグループがウイルスの名付け規則を討議してきましたが、アンチウイルス/アンチスパイウェア ソフトウェア会社および研究組織の間で違いがなお存在しています。 かくして「別名」によって、異なる情報源から同一のマルウェアやスパイウェアに付けられた別の名前が紹介されます。


Annoyance (嫌がらせツール)
画面上のテキストを上下逆にしたり、マウスの動きをおかしくさせたりするなど、ユーザの邪魔をする以外には損害を引き起こさないトロイの木馬です。


ANSI Bomb (ANSI 爆弾)
キーボード上の特定のキーを再プログラムする文字のシーケンスです。 ANSI.SYS がロードされた場合、ANSI 爆弾の中には色付きのメッセージを表示するものや、興味を引く(しかし不要な)画像効果を持つものもあります。


Anti-antivirus Virus (「対アンチウイルス」ウイルス)

レトロ ウイルスの別名。



Anti-emulation (アンチ エミュレーション)

ポリモーフィック ウイルスを確実に検出するために、スキャナにはコード エミュレータが含まれており、実行可能なコードをシミュレートして、それが既知のウイルスに復号化するかどうかをチェックします。 エミュレータは続行する必要がないことが分かった時点でプログラムのエミュレーションを中止する必要があり、パフォーマンスの観点から、多くのエミュレータはどの時点でエミュレーションを中止するかをすばやく決定するための簡単なルールを持っています。 ある種のポリモーフィック ウイルスはエミュレータをだまして、コードの復号化が完了する前にエミュレーションを中止させることで、コード エミュレータの機能を無効化するという手法を使います。 このような手法は一般にアンチ エミュレーション技法と呼ばれています。



Anti-heuristic (アンチ ヒューリスティック)

ウイルス作成者が、作成したコードを新種のウイルスの可能性があるとしてヒューリスティック検出で検出されないようにすることをアンチ ヒューリスティックと呼びます。 各スキャナが用いるヒューリスティック アプローチによって手法は異なりますが、ある種のコード不明瞭化技法は明らかにアンチ ヒューリスティックです



Antivirus Virus (「アンチウイルス」ウイルス)
アンチウイルス プログラムそのものをウイルス化して、それが最も必要とされている場所へウイルスを広げようとする発想は古くからあります。 このようなプログラムが「アンチウイルス」ウイルスです。 世界中の高名なアンチウイルス研究者たちの間でも、これは非常に悪意があるだけでなく危険な発想でもあるという点で意見が一致しており、なんとしても阻止しなければなりません。


Appender (アペンダ)

自らのコードのコピーを被害ファイルの末尾に追加するウイルスはアペンダもしくはアペンド ウイルスとして知られています ( キャビティ ウイルス、コンパニオン ウイルス、上書き感染型ウイルス、プリペンダを参照)。



Armored Virus (武装ウイルス)
特殊な方法を使って、デバッガでのトレースやディスアセンブルを困難にしているウイルスを「武装」ウイルスと呼びます。 武装する主な目的は、ウイルスを分析する側にウイルスのコードを完全に読み取られないようにすることです。 武装ウイルスの初期のものに、Whale があります。


AV Killer (アンチウイルス キラー)
検出されないようにするために、ユーザのアンチウイルス ソフトウェアを無効にすることを意図したハッカー ツールです。 パーソナル ファイアウォールを無効にするものもあります。


AVED

AntiVirus Emergency Discussion list の略語です。

プロのアンチウイルス研究者のためのメーリング リストを使用することで、新たに登場もしくは現在継続中の「危機」や、「緊急」のウイルスなどについて、他の研究者たちに警戒を呼びかけることができます。 これらのメーリング・リストは各地域や言語にローカライズされている場合もありますが、世界規模で広がっていることが知られています。 これにはまたフォーラムとしての機能もあり、新たに発見されたウイルスのどういった前兆がユーザに警戒を呼びかける充分な根拠になるか、またニュース メディアで取り上げられるにはどの時期がふさわしいか、などを研究者たちは議論します。 ディスカッション リストとは別のリストもあり、そこでは緊急の対策を要するウイルス サンプルを安全に配布することが可能で、リストのメンバーは各自が所属する組織で一般の人たちに注意を喚起する必要があると判断しているウイルスの投稿を求められています。 AVED メーリング リストと会議には、コンピュータ・アソシエイツのシニア ウイルス分析スタッフからも代表が参加しています。 ( REVS を参照)



このページのトップへ戻る

B

 

Backdoor (1) (バックドア(1))

ネットワーク接続を通じてコンピュータのリソースに密かにアクセスすることを可能にするようなプログラムは、バックドアもしくはリモート アクセス トロイの木馬と呼ばれます。 注意が必要なのは、このようなアクセスを可能にすることを意図して作られた正規のソフトウェアにも、こういった機能が含まれていることがよくあるという点です。 たとえば、企業ネットワーク上のワークステーションのリモート管理を可能にしたり、ヘルプ デスクのスタッフがユーザの便宜のためにマシンを「支配」してリモートでユーザに操作方法を示したりすることを可能にするソフトウェアなどは本来的に有用で、多くの場面で必要とされるツールです。 バックドアやリモート アクセス トロイの木馬と管理ツールとの違いは、後者はシステムにインストールされることを意図したものであり、システム管理者や関係する他のスタッフの了解とサポートの下で使用されるという点です。

一般的に、リモート アクセス トロイの木馬はクライアント コンポーネントとサーバ コンポーネントの 2 つの部分からなります。 トロイの木馬がバックドアとして機能するためにはサーバ コンポーネントが被害マシンにインストールされる必要があります。 これは、ユーザがそのプログラムを実行したくなるような何らかの偽装をプログラムに施すことで実現されます。 ゲームやパッチのような他のプログラムを装ったり、正規のプログラムのハッキングされたパッケージであったりすることもあります。

以下に掲げるのは、ハッカーがバックドアを用いてユーザのコンピュータをコントロールすることで可能になることの簡略なリストです。

  • ファイルのアップロード/ダウンロード
  • レジストリの改変
  • ファイルの消去
  • パスワードおよびその他機密情報の窃取
  • キーボード操作の記録
  • ファイル名の変更
  • 画像やメッセージ ボックスの表示
  • キーボードやマウスの無効化
  • タスクバー、スタートボタン、デスクトップ アイコンの隠蔽
  • コンピュータのシャットダウンおよび再起動
  • 印刷
  • アプリケーションの実行および、実行中アプリケーションの終了
  • WEB CAM やマイクのようなキャプチャ デバイスの検出および初期化
  • アンチウイルスやファイアウォール ソフトウェアの無効化
  • 他の侵入者の不正なアクセスが可能になるような、被害マシン上での FTP サーバの起動

 



Backdoor (2) (バックドア(2))

「バックドア」という用語はまた、管理者やユーザが通常知らない、コンピュータ システムまたはアプリケーションにアクセスする方法の同義語として頻繁に使用されます。 通常この用語は、この機能の存在が秘密になっているときに使用されます。 存在が広く知れ渡っている機能は、(使用するためにある程度の難解なアクセス方法を知る必要があって、まだ秘密として慎重に保護されていても)偶然この存在が暴かれない限り「バックドア」と呼ばれることはあまりありません。 このような不正なアクセス メカニズムは、システム設計者やアプリケーション設計者の知らないうちに開発者によって組み込まれたり、設計通りではあるが顧客やエンド ユーザには知らされないことがあります。 この意味でのバックドアは、アンチウイルスの分野では直接的な重要性や関連性はほとんどありません。

 



Bait File (ベイト ファイル)

ゴート ファイルの前半の解説を参照してください。



Bimorphic Virus (バイモーフィック ウイルス)
2 種類の復号コードを持つ暗号化ウイルスで、通常はそれら 2 つからランダムに選択して、新たな複製のデクリプタを生成します (詳細はポリモーフィック ウイルスを参照。また オリゴモーフィック ウイルス も参照してください)。


Binder (バインダ)
2 つ以上のファイルを単一のファイルに結合するツールです。通常いずれかのファイルを隠すために使用されます。 バインダは、選択した一連のファイルを 1 つのホスト ファイルにまとます。このホスト ファイルの名前は変更できます。 ホスト ファイルは、ソース プログラムを解凍して起動する、単純なカスタム プログラムです。 ホスト ファイルを実行すると、ホストに埋め込まれたファイルが自動的に解凍され、起動されます。 たとえば、メモ帳にトロイの木馬がバインドされている場合、結果としてはメモ帳が実行されているように見えますが、実際にはトロイの木馬も実行されます。


BIOS

Basic Input/Output System の略語です。 ハードウェアとの最下層のインターフェースを提供する PC のプログラムです。 PC の BIOS はフロッピー ディスクのブート セクタやハードディスク ドライブのマスター ブート レコードをロードしてオペレーティング システムのブート ストラップを開始する役目を担っています。

CPM、DOS、Windows 3.x といったオペレーティング システムでは、適切なマシン操作のためには BIOS によるハードウェアとのインターフェースが欠かせません。 標準的な BIOS が認識して扱うことができないハードウェアをそのハードウェア専用のソフトウェア以外で使用する場合は、アダプタ カード上に 拡張 BIOS を含めるか、デバイスへのアクセスを可能にするデバイス ドライバを供給する必要があります。 PC 用の、より先進的な OS (各種 PC 用 Unix、NT、Linux、Windows 95 など)は独自に用意したプロテクト モード ドライバですべてのハードウェアへのアクセスを可能にし、BIOS については OS ブート ストラップ機能のみを使用します (Windows 95 ではネイティブ ドライバが対応していない「想定外」のハードウェアが含まれるような古いマシンでも動作が可能なように、ある程度はリアルモードとの互換性を保っていますが、パフォーマンスのオーバーヘッドが生じます)。

これまで BIOS は PC のメイン ボード上のソケットに差し込まれた ROM の形で供給されてきました。 新しいハードウェア要件に対応させたり、バグフィクスを提供したりするためには BIOS の交換を想定したこの方法が必要でした。 最近では BIOS はフラッシュ メモリ(あるいはフラッシュ ROM)チップで供給されることが標準的で、ソフトウェアを使用して直接アップデートが可能です。

BIOS とメインボードの設定オプションおよびデータを保存する、CMOS 記憶領域と BIOS とを混同しないように注意してください。



Boot Code (ブート コード)

ブート セクタに記録されているプログラムはブート コードと呼ばれます。 BIOS が POST チェックを完了すると、次にブート コードがオペレーティングシステムをロードするので、ブート セクタには通常ブート コードが置かれています。しかし、基本的にブート コードを含まないブート セクタもあります。 その好例は拡張パーティション上の先頭ブート セクタで、DOS や Windows のような OS ではそれらのパーティションをブート可能にすることはできないので、OS はそのパーティションにはパーティション テーブル(これは必要です)を置くだけです。

つまり、フロッピー ディスクやハードディスク ドライブのパーティション(論理ドライブ)上のシステム ブート セクタとハードディスク ドライブの MBR には何らかのブート コードが含まれています。 ブート ウイルスが標的とするのはこのコード、もしくはこのコードのために設けられた空間です。 BIOS はハードウェア チェックを終えると、適当なブート セクタ(起動デバイスの設定と、そのデバイスの状態によって異なります)を中身の「サニティ チェック」をまったくせずに読み出します。



Boot Infector (ブート感染型ウイルス)

ブート セクタ ウイルスを参照してください。



Boot Record (ブート レコード)

ブート セクタに記録されたプログラムです。 実際にブート可能かどうかに関わらず、すべてのフロッピー ディスクにブート レコードがあります。 A ドライブにディスクを入れたままコンピュータを起動またはリセットするたびに、DOS はディスクのブート レコードを読み込みます。 ディスクがブート ウイルスに感染している場合、コンピュータは最初に、ウイルス コードが常駐しているブート セクタを読み込み、ウイルスが元のブート レコードを格納しているセクタにジャンプします。



Boot Sector (ブート セクタ)

システムのブート セクタとマスタ ブート レコード両方を含む一般的な用語です。 専門的には、DOS や Windows が置かれる、ドライブの先頭の論理セクタとハードディスク ドライブの MBR CHS セクタ 0、0、1)を指します。 フロッピー ディスクにはパーティションがないので、論理ドライブおよび物理ドライブのセクタのマッピングは一致しており、先頭の論理セクタも CHS 値は 0、0、1 です。 ハードディスク ドライブには、ドライブ C やドライブ D といったパーティションで表される各論理ドライブにブート セクタがあり、さらに MBR のブート セクタがあります (拡張パーティションのルート エントリがカウントされる場合とされない場合があります。カウントされる場合はブート セクタは上の説明よりも多くなり、合計数は拡張パーティションの数とネストによって異なります)。ブート セクタには通常ブート コードが含まれており、ブート コードがシステム ブート セクタにある場合は、DOS や Windows の FORMAT や SYS によって作成されています。また、ハードディスク ドライブのマスター ブート レコードにある場合は、FDISK によって作成されています。 「ブート セクタ」という用語は論理ドライブのブート セクタのみを指して使用される場合もあります。 この用語集ではできるだけこのような使い方を避け、区別が必要な場合は「システム ブート セクタ」という使用頻度の低い用語を使用します。



Boot Sector Infector (ブート セクタ ウイルス)

ハードディスクとフロッピー ディスク両方の、すべての論理ドライブにブート セクタが存在します。 これはブート不可能なディスクについても当てはまります。 ブート セクタにはディスク フォーマットに関する詳細な情報(BPBを参照)とブート コードという規模の小さいプログラムが含まれます。ブート コードはドライブ上のアクティブな OS のシステム ファイルの読み込みを開始します。 PC の A ドライブにディスクを挿入したままで起動した際に現れる「Non-system Disk or Disk Error」というメッセージはブート コードが表示しています。 これらのシステム ブート セクタのほかにも、ハードディスク ドライブにはマスター ブート セクタもしくはマスター ブート レコードと呼ばれる特別なブート セクタがあります。 ブート コードはプログラムなので、コンピュータ ウイルスに感染することもあります。 ブート セクタへの感染は、ウイルスに感染したフロッピー ディスクをフロッピー ドライブに入れた状態でマシンを再起動することで起こります。 ウイルス性のブート コードがブート セクタから読み出され実行されると、ウイルスは自らをメモリの「安全」な場所にコピーして、ディスクの I/O 機能をフックし、ハードディスク ドライブに感染します。そしてそのまま常駐し、まだ感染していないブート セクタ(通常はフロッピー ドライブに挿入されたディスク上のブート セクタ)が次に現れるのを待ちます。 ブート ウイルスならびに多くのファイル感染型ウイルスが使用するメモリ上の安全な場所とは「メモリの先頭」です。 史上初めてのウイルスである Brain は、初のブート セクタ ウイルスでもあります。 Brain の感染はフロッピー ディスクのブート セクタに限られていましたが、それ以降のウイルスの多くはフロッピー ディスクのシステム ブート セクタとハードディスク ドライブの MBR に感染します。 この感染方法を用いる主な利点は、どのようなタイプのドライブから起動された場合でもウイルスのコードが最初に実行されるという点でしょう。 Stoned はこの機能を実装した最初のウイルスであり、いまでもこの手法はよく参考にされます。 感染範囲が広いことで知られる Form のような数種のブート セクタ ウイルスは、フロッピー ディスクとハードディスク ドライブのシステム ブート セクタに感染します。 フロッピー ディスクやハードディスク ドライブのシステム ブート セクタにのみ感染するウイルスと違って、MBR にのみ感染するブート セクタ コンポーネントを持つ複合型ウイルスもあります。 ブート ウイルスはポリモーフィック(多形性)である場合もあります。たとえば、Win95/Fono のブート コンポーネントは複雑に分化していて、ステルス技法(Brain やその他以降)を使用することもできます。また、ウイルスの用いるあらゆる常套手段を使用します。 コンピュータ ウイルスの歴史の早い段階において、ブート セクタ ウイルスは最も広く普及し、実際に感染を引き起こしてWildList を賑わせました。 これはコンピュータを LAN や WAN に接続することが一般的になる以前は、データの移動のためにフロッピー ディスクを共有する機会が圧倒的に多かったためです。 フロッピー ディスク ブート セクター コンポーネントを持つ複合型ウイルスは、当時それに次いで広く普及していたウイルスで、Junkie はおそらく最も広がった有名な例でしょう。 このころ、直接ファイル感染型ウイルスが WildList に登場することは滅多にありませんでした。 これらのタイプはドキュメントに埋め込まれたマクロ ウイルスが一般的になり、ネットワーク接続(特にインターネット)が広く普及するにつれて、完全に姿を消しました。



Boot Virus (ブート ウイルス)

ブート セクタに感染するウイルスです。 詳細についてはブート セクタ ウイルスを参照してください。



BPB
BIOS Parameter Block の略語です。 すべての FAT フォーマット ドライブのブート セクタにあるデータ テーブルで、ドライブのフォーマット情報が記述されています。 ここには、トラック数、トラックあたりのセクタ数、セクタのサイズ、論理クラスタあたりのセクタ数といった、ドライブ属性を読み出す際に必要な詳細情報が記述されています。


Browser Helper Object (ブラウザ ヘルパ オブジェクト)
略して BHO (Browser Helper Object)とも呼ばれます。 Internet Explorer の起動時に常にロードされるコンポーネントで、IE のメモリ コンテキストを共有し、利用可能なウィンドウおよびモジュールで、任意のアクションを実行できます。 BHO は、イベントの検知、表示ページに関連する追加情報を表示するウィンドウの作成、メッセージおよびアクションの監視を行うことができます。 Microsoft は、これを「ブラウザの領域に潜入させるために我々が送り込むスパイ」と呼んでいます。BHO はパーソナル ファイアウォールでは阻止できません。これはファイアウォールには BHO がブラウザとして認識されるためです。 この技術のエクスプロイトの中には、IE で表示したすべてのページを検索し、バナー広告を別の広告に変えてしまうものもあります。 ユーザのアクションを監視し、レポートするものもあります。 ユーザのホーム ページを変更してしまうものもあります。


BSI

ブート セクタ ウイルス(Boot Sector Infector)の略語です。



このページのトップへ戻る

C

 

CARO

コンピュータ アンチウイルス リサーチ オーガニゼーション(Computer Antivirus Research Organization)の略語です。

プロのアンチウイルス研究者たちが参加する非公式のグループで、最先端のアンチウイルス技術に取り組んでいます。



Cavity Infector (キャビティ ウイルス)

感染ターゲットの「穴」を見つけてコードを挿入するウイルスはキャビティ ウイルスとして知られています。 ファイルサイズの増加を注意深く観察することで、被害者はウイルスの存在を知ることが一般的であり、この感染技法はターゲットのファイルサイズを増加させないという点が優れています。 多くのプログラムには、事前定義済みの配列(通常 NULL 文字で埋められています)や一般的なパターンで埋められたスタック領域があり、ウイルスはこれらのパターンに一致する領域を容易に発見できます。 キャビティ 型ウイルスは手ごろなサイズの「穴」を発見すると、その穴に自身をコピーしてプログラムのエントリ ポイントにパッチを当て、ウイルスが最初に実行されるようにします(もしくはコントロールを奪うためにホストに何らかの変更を加えます)。 これにより、ウイルスはメモリの他の場所に自身をコピーすることが可能になるか、もしくはウイルスによって書き換えられたエリアをホスト プログラムが使用するであろう前に、ウイルス プログラムを実行して作業を終えることができます。 キャビティ ウイルスの技法はあまり使われることはありませんが、寄生性のファイル感染型ウイルスの最初のものである Lehigh はキャビティ ウイルスです。 複数キャビティ ウイルスも参照してください。( アペンダ、コンパニオン ウイルス、上書き感染型ウイルス、プリペンダを参照)



CHS

シリンダ(Cylinder)、ヘッド(Head)、セクタ(Sector)の略語です。 ディスク アクセス ルーチンが使用する、ディスク セクタ位置情報の表記方法です。 この表記法ではシリンダの代わりに「トラック」という用語が、ヘッド の代わりに「サイド」という用語(「サーフェース」の場合もあります)が使用されることはありますが、CHS (シリンダ、ヘッド、セクタ) には曖昧さがないという利点があります。

アンチウイルスに関連して重要な点は、ブート セクタ ウイルス(特に MBR 感染型ウイルス)が通常、感染するセクタの元の内容の「安全な」コピーを作成し、この位置がしばしば固定 CHS アドレスで示されるという点です。 ウイルスが「オリジナルの MBR は 0、0、7 に保存されました」というような説明を表示することがありますが、これはつまりオリジナルの MBR がシリンダ(もしくはトラック) 0 、ヘッド(もしくはサイド) 0 の 7 番目のセクタに保存されているということを意味します。



Class Infector (クラス感染型ウイルス)

クラス感染型ウイルスは 1 つもしくは複数のクラス モジュールにコードを格納するマクロ ウイルスです。 クラス感染型ウイルスは Word 97 の SR-1 (Service Release 1)が登場した直後から、マクロ ウイルス作成者の間で流行するようになりました。 このバージョンの Word では、Microsoft は仕様を伏せてアンチウイルス機能を提供し、存在しているほとんどの Word のマクロ ウイルスが自身を複製できないようにしました。 このバージョンの Word で初期のウイルスができることは、ほとんどの場合、標準テンプレートに感染することだけです。 そこから文書に感染を広げることはできません (この特徴は Macintosh 用 Word 98 を含む、その後の Word のバージョンでも同様です)。 クラスへの感染自体は、SR-1 で導入された対策を打ち破るためのものではありませんでしたが、文書に感染することができなくなりつつあることに気が付いた最初のウイルス作成者は SR-1 のリリースと同じ時期に、ウイルスがデフォルトのドキュメント クラス オブジェクトに感染するように方針を変更しました。



Cluster Virus (クラスタ ウイルス)

アペンダやプリペンダのようにホスト ファイルに直接感染せずに、実行可能ファイルの呼び出しに割り込んで、意図したファイルのコードの代わりに、もしくはそれが実行される前に、他のコードを実行させるという方法があります。 そのような手法の一つがクラスタ感染型で、少数のDoS ウイルスで使用されています。

通常この手法はFAT ファイル システム上でウイルスのコードをハードディスク ドライブに保存して、その後「感染」ファイルのディレクトリ エントリを書き換えます。 ディレクトリ エントリの書き換えに必要なのは、ファイルの先頭クラスタを指しているフィールドをウイルスのコードが置かれているクラスタを指すように変更することと、感染ファイルのオリジナル開始クラスタをディレクトリ エントリの使用されていない領域に記録することです。 ユーザが感染したプログラムを実行しようとすると、オペレーティング システムは実行可能ファイルの先頭クラスタに見える場所からウイルスを読み出し、実行します。 ウイルスは予定された一通りの動作を終えた後、感染の際に保存した正しい先頭クラスタ情報を使って、オリジナルのファイルをロードして実行します。 Dir-II は最初のクラスタ ウイルスで、しばらくの間 In the Wild の状態にありました。

クラスタ感染テクニックはファイルに関連付けられたクラスタ チェインのリンクを改変するものなので、これらのウイルスは「リンク ウイルス」と呼ばれることもありますが、この用語の使用は望ましくありません。



CMOS

Complementary Metal Oxide Semiconductor の略語です。バッテリー バックアップの RAM で、PC/AT 以降の PC でハードウェア設定情報を保存しておくのに使用されます。 このメモリーは CPU アドレス空間にはなく、I/O ポートの読み取りおよび書き込みでアドレス指定されるので、その内部のプログラムを直接実行することはできません。 これはウイルスが CMOS RAM に格納されることも感染することもできないということを意味します。 CMOS RAM の内容を混乱させたりフロッピー ドライブへの参照を消去するなどして、起動の際にハードディスク ドライブの MBR が常に最初に実行されるように、ペイロードで改変するようなウイルスもあります。



Collection Virus (コレクション ウイルス)
ズー ウイルスを参照してください。( In the Wild を参照)


Commercial Remote Access Tool (市販のリモート アクセス ツール)
通常リモート管理に使用される市販製品です。しかし、ユーザの知らないうちに同意なしでリモート管理に悪用されることがあります。


Companion Virus (コンパニオン ウイルス)
既存のファイルに変更を加えるという最も一般的な方法の他にもシステムに感染する方法があります(寄生性ウイルスを参照)。 オペレーティング システムに用意されたコマンド ライン インタープリタ(またはシェル)を使用して、ウイルスはシステム上に自分自身の完全なコピーを作ることが可能で、プログラムを呼び出そうとしたときに、ほぼ確実にウイルスのコードを最初に実行させるようにすることができます。 このようなプログラムはコンパニオン ウイルスと呼ばれていて、複数の感染方法があります。

たとえば、DOS 環境では(および Windows 系 OS のコマンドラインである「コマンド プロンプト」からであれば)、シェルに完全なコマンド名が入力されなければ、シェルは現在のディレクトリを検索した後、PATH 環境変数を参照して記述順に各ディレクトリからコマンド名にマッチする COM ファイル、EXE ファイル、BAT ファイルの順で検索します。 したがって、コンパニオン ウイルスはターゲットの EXE ファイルと同じディレクトリに、同名で COM という拡張子を持つファイルとして自身をコピーして「感染」することができます (同様に BAT ファイルの場合も、同名で EXE もしくは COM という拡張子を持つファイルをコピーすることで「感染」が可能です)。ウイルスの活動が終了するとオリジナル プログラム ファイルが呼び出され実行されます。 ウイルスの動きが速いとユーザはウイルスの活動によるわずかな遅れになかなか気付かず、またターゲットにされたプログラムが「正常に」動作しているので疑いを抱くこともあまりありません。 この感染テクニックは実行順序コンパニオン方式もしくは実行優先順位コンパニオン方式と呼ばれます。

もう 1 つのコンパニオン感染方式は、前述した DOS のコマンド解釈プロセスを利用した方式です。 パス順序コンパニオン方式もしくはパス優先順位コンパニオン方式として知られているこの手法は、ターゲット プログラムを擁するディレクトリよりも、実行優先度の高いディレクトリにウイルスのコピーを配置します。 ウイルス ファイルはターゲット ファイルと同じ名前にされ(実行可能な拡張子であれば、拡張子まで同じである必要はありません)、ターゲット ファイルの代わりにウイルス プログラムが見つかり、実行されます。 プログラム実行順序コンパニオン方式の場合と同様、パス コンパニオン方式ウイルスもウイルスの活動が終了した後にオリジナル プログラムを確実に実行させる必要があります。 この方式は、プログラム実行順序コンパニオン方式と違って、OS が PATH 環境変数と同様の概念に基づいていれば、ファイルが「実行可能」かどうかをファイル拡張子で決定しないオペレーティング システム上でも成功します。

一方、もう一つの感染方式ではターゲット プログラムの名前を実行不能な拡張子に変更した上で、同名のファイル名と拡張子を持つウイルスを同じディレクトリにコピーします。 ユーザがプログラムを呼び出すと、意図したプログラムではなくウイルスが実行されます。 ファイル名を変更する方式のコンパニオン ウイルスの場合も、ウイルスの存在を気付かれにくくするためにオリジナル プログラムをロードして実行する必要があります。 Windows のような GUI シェル環境ではデスクトップやメニュー ショートカットなどが設定される際に完全パスでファイル名が記述されていることが普通なので、このアプローチはより有効に動作するという利点があります。 このような環境では、パス順序型と実行順序型の場合は、オリジナルのプログラムが変更されていないので、ほとんど影響がありません。 もちろん、ファイル名変更型コンパニオン ウイルスのようにオリジナルのファイルと入れ替えてしまう方式は、ファイルの整合性チェックで検出される可能性は高くなってしまいます。

既存の実行ファイルを変更する必要がない、非常に簡単な方法であるにもかかわらず、コンパニオン ウイルスはこれまであまり出現することはありませんでしたが、最近になって別の方式のコンパニオン感染テクニックがポピュラーになってきました。 一般のオペレーティングシステムのシェル(通常は Windows エクスプローラ)でのファイルの扱い方を制御するより複雑な方法は Windows 95 と NT によって導入(より正確には促進)されました。 ファイル拡張子とより詳細なファイルの種類との相互関係がレジストリの中に記述されています。 たとえば、EXE ファイルの扱いについては HKEY_CLASSES_ROOT 中の一連の値で定義されています。 このシーケンスには EXE ファイルを「オープン」するためのハンドラも含まれます。 通常、シェルは古いバージョンの Windows や DOS と同様に、EXE ファイルをロードして実行するだけです。 しかし、これは他のプログラムを起動させるように適当なレジストリ値を変更することで、悪用される可能性があります。 呼び出されたハンドラがオリジナルの EXE ファイルを「通常通り」起動していれば、ユーザは疑うことはありません。

既存ファイルの変更を検出するだけの単純な整合性チェックでは、ターゲット プログラムの差し替えをしないコンパニオン感染方式に対しては役に立ちません。 このような理由から、優れた整合性チェックではシステムへの新規プログラムの追加もモニタしています。 ( アペンダ、キャビティ ウイルス、上書き感染型ウイルス、プリペンダを参照)



Constructor Kit (コンストラクタ キット)
ウイルス作成者たちの中には自分でウイルスを作成するだけでは飽き足らず、一般の人々がウイルス作成者になれる「機会」を提供しようと考える人たちもいます。 その答えが「コンストラクタ キット」であり、これを実行していくつかパラメータを与えれば、プログラマでない人でもウイルスを作成することができます。 これまで何年にもわたり、簡単な COM ウィルスや EXE ウイルス、ポリモーフィック ウイルス、バッチ ウイルス、マクロウイルス、スクリプトウイルスなどが作られてきました。 おそらく、初期のころにもっとも有名だったものは Virus Construction Laboratory (VCL)と Phalcon/Skism Mass-Produced Code Generator (MS-MPC)でしょう。


Cracking Tool (クラッキング ツール)
使用制限を取り除くために他のソフトウェアを変更するように設計されたソフトウェアです。 例として、ファイル内の特定の位置のバイト列を置き換え、ファイルをライセンスされたバージョンへと変更する「パッチャ」または「パッチ ジェネレータ」というソフトウェアがあります。 音楽ファイル リッパは、ユーザが CD から曲を MP3、WAV、AIFC などのさまざまな形式にデジタル コピーできるようにするプログラムです。


このページのトップへ戻る

D

 

Data Diddlers (データ改ざん型)
この名前は、データを改変するペイロードを含むウイルスに対して一般的に使用されます。 この種類のウイルスは、たとえば Excel スプレッドシートの「0」を「9」に変更したり、Jal.A のように特定の言葉を置換したりすることがあります。 残念ながら、これらのいくつかのウイルスによって加えられた変更は、大量のデータ内ではほとんどわかりません。 そのため、ユーザはしばらくの間感染していることに気付かず、時間とコストのかかる駆除手順が必要になることがあります。


DDoS
分散サービス妨害(Distributed Denial of Service)の略語です。 大きなサイトを DoS 攻撃しようとする場合に、リソースを疲弊させる方法や、特にネットワーク帯域を浪費させるような方法では、攻撃目標のサイトが利用するリソースが広大なため、1 台のマシーンで攻撃することが不可能な場合があります。 その解決策が分散サービス妨害攻撃で、これは「アタック サービス」がインストールされた多数のマシンが指令を受けて目標のシステムを一斉に攻撃するというものです。 それぞれのDDoS 「エージェント」の働きが全体の「ロード」となり、攻撃を受けたサービスやサー&