パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ボットネットは主に2種類のワームが構築」記事へのコメント

  • ボットの場合検出されない事を目標としているのではなさそうなのでそこで性能をはかるのは疑問です。

    単にコンピュータの数を確保したいだけで、セキュリティの甘いコンピュータが大量にあれば
    感染力は強いが、検出されやすいというのも合理的な戦略だとおもいます。
    • by Anonymous Coward
      感染力と検出の難しさは天秤にかけるものではありませんが?
      最近のマルウェアは寿命を延ばすために解析しにくい工夫がなされているものが多いですよ。
      • by Anonymous Coward
        具体例を挙げてくれないと単なるFUDになってしまいますよ?
        • まぁ、とりあえずこの辺の記事は一読しといて損は無いかと思います。

          ”ボットネット概要”発表 - ISS高橋氏・ラック新井氏がボットを語る [mycom.co.jp]

          >この中で、パターンマッチング対策として紹介されているのが、圧縮ツールを用いた難読化だ。
          >SymantecのKevin Hogan氏も指摘しているが、実行ファイルを実行可能なままパッキング(圧縮)=難読化させる手法で、
          >これにより1つの実行ファイルが複数のパターンをもつことになり、シグネチャ(定義ファイル)ベースでの検知を逃れることができる。

          もっと詳しい資料は、JPCERT/CC [jpcert.or.jp]のボットネット研究資料 [jpcert.or.jp]にもあります。

          最近の事例だと、Storm Wormがrootkit的な技
          • 実行ファイルを実行可能なままパッキング(圧縮)=難読化させる手法で、これにより1つの実行ファイルが複数のパターンをもつことになり、シグネチャ(定義ファイル)ベースでの検知を逃れることができる。

            1994年にはすでにありました。MS-DOS上のvirusの話だけど。ミューテーションウイルスと呼ばれていました。

            デバッガ上またはVMware等の仮想システム上で実行されていることを検出する機能があり、これを検出した場合、活動を停止したり、自分自身を消去するものがある

            cloakingも同じく。MS-DOSのAPIをフックして、感染したファイルを開くと一時的に除去したり、メモリ上から消えたり。

            あれからもう10年以上経っているのだし、駆除妨害はもっと面白い手法が生まれててもおかしくないのですが。

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...