パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ウイルスがウイルスに感染して進化」記事へのコメント

  • 合体の原因が本当に寄生(感染)なのか、にわかには信じられないな。 「OPASERV」と「SPACES」のそれぞれの感染機能はどうなっているんだろうか? OPASERV の自己複製機能が感染後には、感染したまま機能するという ことなんだろうか?
    --
    -- 哀れな日本人専用(sorry Japanese only) --
    • by Anonymous Coward
      SPACESは全ての.exeに自分を埋め込みます。
      OPASERVは自分自身の.exe(ScrSvr.exe)を他のPCへバラまきます。
      なので、SPACESがScrSvr.exeへ自分自身を埋め込んで、OPASERVが他のPCにバラまいたのではないかと思われます。
      • SPACES は exe じゃないってことかな? と、すると、SPACES は自分自身に感染することはないし、自分自身が 感染しているファイルか否かを判定できるから特別なウィルスというわけでは ないようですね。

        一方、OPASERV は「自分自身」をどうやってばらまくんだろう。 SPACES の感染により OPASERV 自体の感染機能は壊れないんですよね? OPASERV は「自分自身」をプログラムが知っている わけでなく「自分自身のファイル名」とかを使って、ばらまくのかな?

        --
        -- 哀れな日本人専用(sorry Japanese only) --
        親コメント
        • by Dot.Zeile (1169) on 2002年12月18日 13時08分 (#220232) 日記
          あのー、詳細を知りたければ、たとえば、 で調べてみてはどうでしょう。
          親コメント
          • by sakamoto (8009) on 2002年12月18日 14時01分 (#220266) 日記
            調べてみました。 で、予想通り自己複製のメカニズムなんてものは載ってませんでした。
            the worm copies itself as this file name [Symantec]
            the worm attempts to copy itself to \Windows\ScrSvr.exe on the remote machine. [Mcafee]
            The worm attempts to copy itself to the Windows folder on networked computers with open shared drives. [Sophos]
            だけですね。その「copy」の仕組みは載ってない。 大体、こういうウィルス作成技術のテクニックなんてものは、 そういうサイトには載らないと思いますけど。
            --
            -- 哀れな日本人専用(sorry Japanese only) --
            親コメント
            • by Dot.Zeile (1169) on 2002年12月18日 14時10分 (#220271) 日記
              うぅ、この一文(や前後)を読んだだけでは動作が理解できないってことね。うーん。network shareを通じてコピーするとか、システムに読み込ませるためにwin.iniやregistryをいじる、ってことも書いてあったと思うんですがねえ。
              親コメント
              • by sakamoto (8009) on 2002年12月18日 14時42分 (#220280) 日記
                ええ。 ようするに、自己複製プログラムを作る時、 内部にデータを持ってコピーを作るのか、外部を操作して自己の複製を 作るのかということです。 私にはプログラムの実行のさせ方だけを説明されても、プログラムの中身は わかりません。 ただ、OPASERV 自体はファイルに感染するタイプではないので、 外部操作が楽なのではないかと考えられますけど。
                # 優秀なプログラマーは「スタートボタンを押してメニューを選ぶ」とか 聞くと、実行されるプログラムの中身を理解しちゃったりするのでしょうか?
                --
                -- 哀れな日本人専用(sorry Japanese only) --
                親コメント
              • by Dot.Zeile (1169) on 2002年12月18日 14時50分 (#220283) 日記
                別に単にファイルコピーしてるだけでしょ?
                親コメント
              • by Dot.Zeile (1169) on 2002年12月18日 15時12分 (#220292) 日記
                もうちょっと説明します。例えばSophosのサイトにはOpaservの記述として「C:がオープンシェアになっててNetBIOS over TCP/IPが有効になっているコンピュータを見つけてコピーする」って書いてありますね。Cドライブがファイルシステムとしてアクセス可能なコンピュータをわざわざ探しているのだからどうやってコピーしているかは理解できると思うのですが…。

                # 外部仕様から内部仕様を考え出せなかったらプログラムなんか一行も書けないよ…。
                親コメント
              • by sakamoto (8009) on 2002年12月18日 16時46分 (#220328) 日記
                では、「外部ネットワークの特定のディレクトリに、内部データに基づいて 自己の複製を作成する」ようなプログラムの説明はどうなるんでしょうか? 「the virus copies itself」にはならないんですよね?

                あと、ファイルシステムをOSを介して使用すると、ファイルコピーを使用する 根拠になるというのはどういう理由なのでしょうか? ファイルシステムを使用しながら内部情報により複製を作るプログラムが 存在しない根拠ってなんなのでしょうか?
                # 私は「複製方式の異なるウィルスでない限り寄生はありえない」という メタな話がしたかったので、複製方式の違いがきちんとわからないと 話にならないんですけど。

                --
                -- 哀れな日本人専用(sorry Japanese only) --
                親コメント
              • by Dot.Zeile (1169) on 2002年12月18日 17時00分 (#220331) 日記
                >ファイルシステムを使用しながら内部情報により複製を作るプログラムが存在しない根拠ってなんなのでしょうか?

                そんなことは言ってませんが。Opaservの話をしてるんですが。
                親コメント
              • by Dot.Zeile (1169) on 2002年12月18日 17時11分 (#220335) 日記
                >私は「複製方式の異なるウィルスでない限り寄生はありえない」というメタな話がしたかった

                その場合、そのメタな話にOpaservとSpacesの細かい具体的な動作の解析が必要な理由がよくわかりませんが。

                Opaservはネットワーク上の他のPCに自分自身の本体EXEファイルを複製するタイプのウィルスで、Spacesはメモリに常駐していてEXEファイルに自分の本体データを埋め込むタイプのウィルスなんですが、これだけの情報からでもいろんな考察はできるけど。

                それだけでは考察できないような深い話がしたいのですか?でも簡単な考察もできてないのに深い考察はできないと思うけどな。どうしても深い考察から始めたいのなら、まずご自分で動作を調べればいいと思いますが。
                親コメント
              • by rin_penguin (9144) on 2002年12月18日 19時21分 (#220410)
                > その場合、そのメタな話にOpaservとSpacesの細かい具体的な動作の
                > 解析が必要な理由がよくわかりませんが。

                たぶん、sakamoto氏は「Opaserv+Spacesが作成するコピーは本当に
                Opaserv+Spacesなのか」という話がしたいのではないでしょうか。

                たとえば、Opaserv実行ファイルであるScrsvr.exeの自己複製が作ら
                れる方法として、

                1. copy Scrsvr.exe Scrsvr2.exe を実行する
                2. Scrsvr.exe が、Opaservのバイナリを1bitずつディスクに吐き出す

                といったものが考えられますが、前者であればOpaserv+Spacesが
                作る自己複製はやはりOpaserv+Spacesになり、後者ならOpaserv+
                Spacesが吐き出すのはただのOpaservになります。後者はSpacesの
                寄生とは呼べないでしょう。

                # もちろん、私はOpaservの複製機構など知りません。
                親コメント
              • by sakamoto (8009) on 2002年12月18日 21時28分 (#220479) 日記
                いや、私がしたい話は、 「ウィルスにウィルスが寄生する仕組み」 です。 今私が考えている仮説は次の通りです。
                1. 同じ自己複製機能同士では寄生は絶対起きないのでは?
                2. 異なる自己複製機能においても組み合わせに相性があるのでは?
                で、とりあえず自分が考えられる自己複製機能は (1)内部データによる生成と(2)外部コマンドによる複製 しかなく、おそらくこの 「(1)(2)の組合せでは寄生が可能(仮説3) 」なようです。 で、この仮説が正しいのかどうかとか、他の 自己複製機能の手法とか、他の組合せはあり得ないのかどうかとか、 /. の識者の方で他に知識やアイディアはないのかなと思ったのです。
                --
                -- 哀れな日本人専用(sorry Japanese only) --
                親コメント
              • by Dot.Zeile (1169) on 2002年12月19日 0時51分 (#220585) 日記
                うーん、漠然としてますねえ…どういう論証の結果そういう結論に到ったか書いてあれば話を拡げようはあるかもとは思うけど。単に仮説を証明/不成立証明して欲しいってことですか?それはまずとりあえずご自分でやってみるべきだと思うんですが。



                以下ちゃんと検討してないのであまり意味はない
                他の方の書き込みにあったようにウィルスに悪意コードを埋めこまれたEXEファイルで見られるパターンというのがあります。
                そういうファイルをさがして、その悪意コードの「前に」自分のコードを埋めこむウィルスってのがあるとしましょう。
                こいつは自分を実行した後、その後ろのブロックの(別のウィルスの)悪意コードに制御を移してそっちも実行するようになっているとします。
                そのウィルスが新たなファイルにコードを埋めこむときに自分が今起動されたEXEファイルの自分のコードから後ろを全部読みこんで使用するようになってる(メモリ上の占有領域を削るため)とすれば、
                EXEファイル埋めこみ型ウィルスを取りこんで勝手に自己拡張するEXEファイル埋めこみ型ウィルスってのが作れますよね。(本当かなあ?(笑))
                こういうウィルスが二種類あったらどうなるか、とか?
                親コメント
              • by paro (13094) on 2002年12月20日 1時15分 (#221467)
                >うーん、漠然としてますねえ…

                同感、単なる「思いつき」レベルの話と思われます。

                OPASERVは所謂ワームに分類され、本体はScrSvr.exe(亜種もあり)です。ワームですから"他のファイルへの感染"はしませんが、共有ドライブ経由で自己を複写することで"他のPCへ感染"します。
                トロイの木馬的な機能はあれど、破壊活動の事例は無いようです。

                対してSPACESは典型的(古典的)なメモリ常駐型ウイルスで、本体は有りません。ファイルオープンをフックして、アクセスしたファイルの末尾に自分自身を追加(感染)するタイプで、その増加サイズから亜種の存在が確認されています。MBRの破壊等を行なうことが知られています。

                これらはシマンテック、トレンドマイクロ等のサイトから簡単に分かる情報です。また、以下のドキュメントなどから
                http://www.symantec.com/region/jp/news/year02/020905.html
                http://www.trendmicro.co.jp/virusinfo/report/mvr021202.asp
                「OPASERV(ワーム)にSPACESのウイルスが感染した状態で」
                「CIH自身はウイルスのためネットワークを介して感染を広げることはありませんが、Klezのようなネットワーク感染型のワームに付着し、感染を広げるケースが見られます。」

                といった内容も簡単に見つかります。これらから、

                1) ワームにウイルスが感染した状態(EXE末尾に追加された状態)で複写された
                2) このようなことは今回(OPASERV+SPACES)が初めてではない

                ということも簡単にわかります。従ってOPASERVの話題から"同じ複製機能同士で"云々という発言をすること自体が的外れだと思います。少なくとも今回の事例とはあまり関係無い話だと思います。
                またこれら(ウイルス、ワーム等)の区別をせずに"相性"云々も萎えます。ただでさえメタな話は発散しやすいのですから、最低限の知識(上記の内容は30分も有れば調べられますよ)を得た上での発言をお願いします。

                >EXEファイル埋めこみ型ウィルスを取りこんで勝手に自己拡張するEXEファイル埋めこみ型ウィルス

                技術的に可能かどうかはサテオキ (^_^) 同種の組み合わせではあまりメリットが無いのではないかと考えます。
                ウイルスは先述のとおり一般に狭い範囲での感染力しか持っておらず、それを補うために"組む"ならば現在主力のネットワーク感染型ワーム(共有フォルダ経由型、メール送付型)の方がメリットが大きいと思われます。
                Nimda等の複合感染型はそれを自前で用意したタイプってことですよね。また、自前で全てを用意せず、特定のウイルスを取り込んだワームというのも存在するようですし。

                ・Brid(ワーム)+FunLove(ウイルス)
                http://japan.internet.com/webtech/20021202/4.html

                #しかし昨年のNimdaといい、AntiVirusのバージョンアップの時期と重なるのは...邪推したくなります。(^^ゞ
                親コメント
              • by Dot.Zeile (1169) on 2002年12月20日 10時30分 (#221599) 日記
                >>EXEファイル埋めこみ型ウィルスを取りこんで勝手に自己拡張するEXEファイル埋めこみ型ウィルス

                >技術的に可能かどうかはサテオキ (^_^)

                まあ、ちょっと思考実験すればこれくらいのことはすぐに思いつくはずなのに、何をやってんのかなあ、って意味で。^^;
                親コメント

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...