アカウント名:
パスワード:
他のプログラムコードを埋め込むのは,結構大変だと思うのですが.
WindowsのPE形式のバイナリには隙間が多くあります。PE形式のバイナリの内部はいくつかのセクションに分かれており、それぞれのセクションはアライメントされています。即ち、セクションの先頭位置が、ファイルの先頭から1024とかのキリのいい数字になるように、0で埋められているわけです。このセクションとセクションの間の隙間にコードを埋め込むことは可能です。かつて一世を風靡したW95/CIHなどもこの方法です。
また、再配置テーブルなどは無くても動く場合が多くあり、ここを潰してウイルスのコードを入れることもできます。
隙間にコードを入れる方法では感染後もファイルのサイズが増えないことですが、隙間のサイズに限界があるため大きなウイルスは作られにくくなります。
なお、PE形式のファイル感染型ウイルスのもう1つの方法としては、ファイルの末尾にウイルスを付けるという方法があります。この場合には、コードのサイズに限界はありませんが、ファイルサイズが大きくなり、最終セクションが実行可能という通常は見かけない形式になってしまいます。(普通、実行可能なコードは先頭のセクションに入り、最終セクションは読取専用のリソースになる)
ここに,バイナリレベルの操作で,他のプログラムコードを埋め込むのは,結構大変だと思うのですが.
一方、OPASERV は「自分自身」をどうやってばらまくんだろう。 SPACES の感染により OPASERV 自体の感染機能は壊れないんですよね? OPASERV は「自分自身」をプログラムが知っている わけでなく「自分自身のファイル名」とかを使って、ばらまくのかな?
the worm copies itself as this file name [Symantec]
the worm attempts to copy itself to \Windows\ScrSvr.exe on the remote machine. [Mcafee]
The worm attempts to copy itself to the Windows folder on networked computers with open shared drives. [Sophos]
あと、ファイルシステムをOSを介して使用すると、ファイルコピーを使用する 根拠になるというのはどういう理由なのでしょうか? ファイルシステムを使用しながら内部情報により複製を作るプログラムが 存在しない根拠ってなんなのでしょうか? # 私は「複製方式の異なるウィルスでない限り寄生はありえない」という メタな話がしたかったので、複製方式の違いがきちんとわからないと 話にならないんですけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
ちょっと信じられない。 (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:ちょっと信じられない。 (スコア:4, 参考になる)
OPASERVは自分自身の.exe(ScrSvr.exe)を他のPCへバラまきます。
なので、SPACESがScrSvr.exeへ自分自身を埋め込んで、OPASERVが他のPCにバラまいたのではないかと思われます。
Re:ちょっと信じられない。 (スコア:1)
/usr/bin/readelf -a hogehoge
で見ていただければ分かるように,ダイナミックリンクするためのシンボル情報なんかが含まれていて,かなり入り組んでいるんですよね.ここに,バイナリレベルの操作で,他のプログラムコードを埋め込むのは,結構大変だと思うのですが.
Re:ちょっと信じられない。 (スコア:5, 参考になる)
WindowsのPE形式のバイナリには隙間が多くあります。PE形式のバイナリの内部はいくつかのセクションに分かれており、それぞれのセクションはアライメントされています。即ち、セクションの先頭位置が、ファイルの先頭から1024とかのキリのいい数字になるように、0で埋められているわけです。このセクションとセクションの間の隙間にコードを埋め込むことは可能です。かつて一世を風靡したW95/CIHなどもこの方法です。
また、再配置テーブルなどは無くても動く場合が多くあり、ここを潰してウイルスのコードを入れることもできます。
隙間にコードを入れる方法では感染後もファイルのサイズが増えないことですが、隙間のサイズに限界があるため大きなウイルスは作られにくくなります。
なお、PE形式のファイル感染型ウイルスのもう1つの方法としては、ファイルの末尾にウイルスを付けるという方法があります。この場合には、コードのサイズに限界はありませんが、ファイルサイズが大きくなり、最終セクションが実行可能という通常は見かけない形式になってしまいます。(普通、実行可能なコードは先頭のセクションに入り、最終セクションは読取専用のリソースになる)
Re:ちょっと信じられない。 (スコア:2, 参考になる)
#さっさとデバッグして公開しなくては。
Re:ちょっと信じられない。 (スコア:1)
DOS/Winの世界では実行ファイルに寄生するウィルスは昔から普通に存在してます。
#いやな「普通」だけどね…。
Re:ちょっと信じられない。 (スコア:0)
Re:ちょっと信じられない。 (スコア:1)
一方、OPASERV は「自分自身」をどうやってばらまくんだろう。 SPACES の感染により OPASERV 自体の感染機能は壊れないんですよね? OPASERV は「自分自身」をプログラムが知っている わけでなく「自分自身のファイル名」とかを使って、ばらまくのかな?
-- 哀れな日本人専用(sorry Japanese only) --
信じられない。 (スコア:1)
Re:信じられない。 (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:信じられない。 (スコア:1)
Re:信じられない。 (スコア:1)
# 優秀なプログラマーは「スタートボタンを押してメニューを選ぶ」とか 聞くと、実行されるプログラムの中身を理解しちゃったりするのでしょうか?
-- 哀れな日本人専用(sorry Japanese only) --
Re:信じられない。 (スコア:1)
Re:信じられない。 (スコア:1)
# 外部仕様から内部仕様を考え出せなかったらプログラムなんか一行も書けないよ…。
Re:信じられない。 (スコア:1)
あと、ファイルシステムをOSを介して使用すると、ファイルコピーを使用する 根拠になるというのはどういう理由なのでしょうか? ファイルシステムを使用しながら内部情報により複製を作るプログラムが 存在しない根拠ってなんなのでしょうか?
# 私は「複製方式の異なるウィルスでない限り寄生はありえない」という メタな話がしたかったので、複製方式の違いがきちんとわからないと 話にならないんですけど。
-- 哀れな日本人専用(sorry Japanese only) --
Re:信じられない。 (スコア:1)
そんなことは言ってませんが。Opaservの話をしてるんですが。
Re:信じられない。 (スコア:1)
その場合、そのメタな話にOpaservとSpacesの細かい具体的な動作の解析が必要な理由がよくわかりませんが。
Opaservはネットワーク上の他のPCに自分自身の本体EXEファイルを複製するタイプのウィルスで、Spacesはメモリに常駐していてEXEファイルに自分の本体データを埋め込むタイプのウィルスなんですが、これだけの情報からでもいろんな考察はできるけど。
それだけでは考察できないような深い話がしたいのですか?でも簡単な考察もできてないのに深い考察はできないと思うけどな。どうしても深い考察から始めたいのなら、まずご自分で動作を調べればいいと思いますが。
Re:信じられない。 (スコア:1)
> 解析が必要な理由がよくわかりませんが。
たぶん、sakamoto氏は「Opaserv+Spacesが作成するコピーは本当に
Opaserv+Spacesなのか」という話がしたいのではないでしょうか。
たとえば、Opaserv実行ファイルであるScrsvr.exeの自己複製が作ら
れる方法として、
1. copy Scrsvr.exe Scrsvr2.exe を実行する
2. Scrsvr.exe が、Opaservのバイナリを1bitずつディスクに吐き出す
といったものが考えられますが、前者であればOpaserv+Spacesが
作る自己複製はやはりOpaserv+Spacesになり、後者ならOpaserv+
Spacesが吐き出すのはただのOpaservになります。後者はSpacesの
寄生とは呼べないでしょう。
# もちろん、私はOpaservの複製機構など知りません。
Re:信じられない。 (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:信じられない。 (スコア:1)
以下ちゃんと検討してないのであまり意味はない
他の方の書き込みにあったようにウィルスに悪意コードを埋めこまれたEXEファイルで見られるパターンというのがあります。
そういうファイルをさがして、その悪意コードの「前に」自分のコードを埋めこむウィルスってのがあるとしましょう。
こいつは自分を実行した後、その後ろのブロックの(別のウィルスの)悪意コードに制御を移してそっちも実行するようになっているとします。
そのウィルスが新たなファイルにコードを埋めこむときに自分が今起動されたEXEファイルの自分のコードから後ろを全部読みこんで使用するようになってる(メモリ上の占有領域を削るため)とすれば、
EXEファイル埋めこみ型ウィルスを取りこんで勝手に自己拡張するEXEファイル埋めこみ型ウィルスってのが作れますよね。(本当かなあ?(笑))
こういうウィルスが二種類あったらどうなるか、とか?
Re:信じられない。 (スコア:1)
同感、単なる「思いつき」レベルの話と思われます。
OPASERVは所謂ワームに分類され、本体はScrSvr.exe(亜種もあり)です。ワームですから"他のファイルへの感染"はしませんが、共有ドライブ経由で自己を複写することで"他のPCへ感染"します。
トロイの木馬的な機能はあれど、破壊活動の事例は無いようです。
対してSPACESは典型的(古典的)なメモリ常駐型ウイルスで、本体は有りません。ファイルオープンをフックして、アクセスしたファイルの末尾に自分自身を追加(感染)するタイプで、その増加サイズから亜種の存在が確認されています。MBRの破壊等を行なうことが知られています。
これらはシマンテック、トレンドマイクロ等のサイトから簡単に分かる情報です。また、以下のドキュメントなどから
http://www.symantec.com/region/jp/news/year02/020905.html
http://www.trendmicro.co.jp/virusinfo/report/mvr021202.asp
「OPASERV(ワーム)にSPACESのウイルスが感染した状態で」
「CIH自身はウイルスのためネットワークを介して感染を広げることはありませんが、Klezのようなネットワーク感染型のワームに付着し、感染を広げるケースが見られます。」
といった内容も簡単に見つかります。これらから、
1) ワームにウイルスが感染した状態(EXE末尾に追加された状態)で複写された
2) このようなことは今回(OPASERV+SPACES)が初めてではない
ということも簡単にわかります。従ってOPASERVの話題から"同じ複製機能同士で"云々という発言をすること自体が的外れだと思います。少なくとも今回の事例とはあまり関係無い話だと思います。
またこれら(ウイルス、ワーム等)の区別をせずに"相性"云々も萎えます。ただでさえメタな話は発散しやすいのですから、最低限の知識(上記の内容は30分も有れば調べられますよ)を得た上での発言をお願いします。
>EXEファイル埋めこみ型ウィルスを取りこんで勝手に自己拡張するEXEファイル埋めこみ型ウィルス
技術的に可能かどうかはサテオキ (^_^) 同種の組み合わせではあまりメリットが無いのではないかと考えます。
ウイルスは先述のとおり一般に狭い範囲での感染力しか持っておらず、それを補うために"組む"ならば現在主力のネットワーク感染型ワーム(共有フォルダ経由型、メール送付型)の方がメリットが大きいと思われます。
Nimda等の複合感染型はそれを自前で用意したタイプってことですよね。また、自前で全てを用意せず、特定のウイルスを取り込んだワームというのも存在するようですし。
・Brid(ワーム)+FunLove(ウイルス)
http://japan.internet.com/webtech/20021202/4.html
#しかし昨年のNimdaといい、AntiVirusのバージョンアップの時期と重なるのは...邪推したくなります。(^^ゞ
Re:信じられない。 (スコア:1)
>
>技術的に可能かどうかはサテオキ (^_^)
まあ、ちょっと思考実験すればこれくらいのことはすぐに思いつくはずなのに、何をやってんのかなあ、って意味で。^^;