パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ボットネットは主に2種類のワームが構築」記事へのコメント

  • ボットの場合検出されない事を目標としているのではなさそうなのでそこで性能をはかるのは疑問です。

    単にコンピュータの数を確保したいだけで、セキュリティの甘いコンピュータが大量にあれば
    感染力は強いが、検出されやすいというのも合理的な戦略だとおもいます。
    • by Anonymous Coward
      感染力と検出の難しさは天秤にかけるものではありませんが?
      最近のマルウェアは寿命を延ばすために解析しにくい工夫がなされているものが多いですよ。
      • by Anonymous Coward
        具体例を挙げてくれないと単なるFUDになってしまいますよ?
        • まぁ、とりあえずこの辺の記事は一読しといて損は無いかと思います。

          ”ボットネット概要”発表 - ISS高橋氏・ラック新井氏がボットを語る [mycom.co.jp]

          >この中で、パターンマッチング対策として紹介されているのが、圧縮ツールを用いた難読化だ。
          >SymantecのKevin Hogan氏も指摘しているが、実行ファイルを実行可能なままパッキング(圧縮)=難読化させる手法で、
          >これにより1つの実行ファイルが複数のパターンをもつことになり、シグネチャ(定義ファイル)ベースでの検知を逃れることができる。

          もっと詳しい資料は、JPCERT/CC [jpcert.or.jp]のボットネット研究資料 [jpcert.or.jp]にもあります。

          最近の事例だと、Storm Wormがrootkit的な技
          • 実行ファイルを実行可能なままパッキング(圧縮)=難読化させる手法で、これにより1つの実行ファイルが複数のパターンをもつことになり、シグネチャ(定義ファイル)ベースでの検知を逃れることができる。

            1994年にはすでにありました。MS-DOS上のvirusの話だけど。ミューテーションウイルスと呼ばれていました。

            デバッガ上またはVMware等の仮想システム上で実行されていることを検出する機能があり、これを検出した場合、活動を停止したり、自分自身を消去するものがある

            cloakingも同じく。MS-DOSのAPIをフックして、感染したファイルを開くと一時的に除去したり、メモリ上から消えたり。

            あれからもう10年以上経っているのだし、駆除妨害はもっと面白い手法が生まれててもおかしくないのですが。

            親コメント
            • というかWindows時代になって、マシンパワーの飛躍的向上とともに、
              ファイルサイズやリソースなど誰も気にしなくなったため、
              ミューテーションとかクローキングなんてしなくなってませんか?

              ウイルス対策製品が導入されていないPCも十分に多いのだから、
              それをターゲットにすればよしと。

              さらに言えば、既存の実行ファイルにくっついて感染するウイルスよりも、
              単体で動作するワームのほうが主流に見えます。
              これも、Windows時代になって、システムのファイル数が飛躍的に増大し、
              ディレクトリも深く掘るのが普通に行われるようになったため、
              ワームを隠すのが簡単になったからでしょう。

              ウイルスやワームにとっては良い環境になったわけです。
              親コメント
            • packing とミューテーションウイルス (polymorphic virus [sophia-it.com]) は全く別の話です。packing というのは、昔で言うと diet [vector.co.jp]、今で言うと UPX [sourceforge.net] みたいなプログラム (packer) で変換することです。
              親コメント

物事のやり方は一つではない -- Perlな人

処理中...