アカウント名:
パスワード:
一方、OPASERV は「自分自身」をどうやってばらまくんだろう
the worm copies itself as this file name [Symantec]
the worm attempts to copy itself to \Windows\ScrSvr.exe on the remote machine. [Mcafee]
The worm attempts to copy itself to the Windows folder on networked computers with open shared drives. [Sophos]
あと、ファイルシステムをOSを介して使用すると、ファイルコピーを使用する 根拠になるというのはどういう理由なのでしょうか? ファイルシステムを使用しながら内部情報により複製を作るプログラムが 存在しない根拠ってなんなのでしょうか? # 私は「複製方式の異なるウィルスでない限り寄生はありえない」という メタな話がしたかったので、複製方式の違いがきちんとわからないと 話にならないんですけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
ちょっと信じられない。 (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:ちょっと信じられない。 (スコア:4, 参考になる)
OPASERVは自分自身の.exe(ScrSvr.exe)を他のPCへバラまきます。
なので、SPACESがScrSvr.exeへ自分自身を埋め込んで、OPASERVが他のPCにバラまいたのではないかと思われます。
Re:ちょっと信じられない。 (スコア:1)
一方、OPASERV は「自分自身」をどうやってばらまくんだろう
-- 哀れな日本人専用(sorry Japanese only) --
信じられない。 (スコア:1)
- http://www.mcafee.com/anti-virus/default.asp [mcafee.com]
- http://securityresponse.symantec.com/avcenter/vinfodb.html/ [symantec.com]
- http://www.sophos.com/virusinfo/analyses/ [sophos.com]
で調べてみてはどうでしょう。Re:信じられない。 (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:信じられない。 (スコア:1)
Re:信じられない。 (スコア:1)
# 優秀なプログラマーは「スタートボタンを押してメニューを選ぶ」とか 聞くと、実行されるプログラムの中身を理解しちゃったりするのでしょうか?
-- 哀れな日本人専用(sorry Japanese only) --
Re:信じられない。 (スコア:1)
Re:信じられない。 (スコア:1)
# 外部仕様から内部仕様を考え出せなかったらプログラムなんか一行も書けないよ…。
Re:信じられない。 (スコア:1)
あと、ファイルシステムをOSを介して使用すると、ファイルコピーを使用する 根拠になるというのはどういう理由なのでしょうか? ファイルシステムを使用しながら内部情報により複製を作るプログラムが 存在しない根拠ってなんなのでしょうか?
# 私は「複製方式の異なるウィルスでない限り寄生はありえない」という メタな話がしたかったので、複製方式の違いがきちんとわからないと 話にならないんですけど。
-- 哀れな日本人専用(sorry Japanese only) --
Re:信じられない。 (スコア:1)
そんなことは言ってませんが。Opaservの話をしてるんですが。
Re:信じられない。 (スコア:1)
その場合、そのメタな話にOpaservとSpacesの細かい具体的な動作の解析が必要な理由がよくわかりませんが。
Opaservはネットワーク上の他のPCに自分自身の本体EXEファイルを複製するタイプのウィルスで、Spacesはメモリに常駐していてEXEファイルに自分の本体データを埋め込むタイプのウィルスなんですが、これだけの情報からでもいろんな考察はできるけど。
それだけでは考察できないような深い話がしたいのですか?でも簡単な考察もできてないのに深い考察はできないと思うけどな。どうしても深い考察から始めたいのなら、まずご自分で動作を調べればいいと思いますが。
Re:信じられない。 (スコア:1)
> 解析が必要な理由がよくわかりませんが。
たぶん、sakamoto氏は「Opaserv+Spacesが作成するコピーは本当に
Opaserv+Spacesなのか」という話がしたいのではないでしょうか。
たとえば、Opaserv実行ファイルであるScrsvr.exeの自己複製が作ら
れる方法として、
1. copy Scrsvr.exe Scrsvr2.exe を実行する
2. Scrsvr.exe が、Opaservのバイナリを1bitずつディスクに吐き出す
といったものが考えられますが、前者であればOpaserv+Spacesが
作る自己複製はやはりOpaserv+Spacesになり、後者ならOpaserv+
Spacesが吐き出すのはただのOpaservになります。後者はSpacesの
寄生とは呼べないでしょう。
# もちろん、私はOpaservの複製機構など知りません。
Re:信じられない。 (スコア:1)
- 同じ自己複製機能同士では寄生は絶対起きないのでは?
- 異なる自己複製機能においても組み合わせに相性があるのでは?
で、とりあえず自分が考えられる自己複製機能は (1)内部データによる生成と(2)外部コマンドによる複製 しかなく、おそらくこの 「(1)(2)の組合せでは寄生が可能(仮説3) 」なようです。 で、この仮説が正しいのかどうかとか、他の 自己複製機能の手法とか、他の組合せはあり得ないのかどうかとか、 /. の識者の方で他に知識やアイディアはないのかなと思ったのです。-- 哀れな日本人専用(sorry Japanese only) --
Re:信じられない。 (スコア:1)
以下ちゃんと検討してないのであまり意味はない
他の方の書き込みにあったようにウィルスに悪意コードを埋めこまれたEXEファイルで見られるパターンというのがあります。
そういうファイルをさがして、その悪意コードの「前に」自分のコードを埋めこむウィルスってのがあるとしましょう。
こいつは自分を実行した後、その後ろのブロックの(別のウィルスの)悪意コードに制御を移してそっちも実行するようになっているとします。
そのウィルスが新たなファイルにコードを埋めこむときに自分が今起動されたEXEファイルの自分のコードから後ろを全部読みこんで使用するようになってる(メモリ上の占有領域を削るため)とすれば、
EXEファイル埋めこみ型ウィルスを取りこんで勝手に自己拡張するEXEファイル埋めこみ型ウィルスってのが作れますよね。(本当かなあ?(笑))
こういうウィルスが二種類あったらどうなるか、とか?
Re:信じられない。 (スコア:1)
同感、単なる「思いつき」レベルの話と思われます。
OPASERVは所謂ワームに分類され、本体はScrSvr.exe(亜種もあり)です。ワームですから"他のファイルへの感染"はしませんが、共有ドライブ経由で自己を複写することで"他のPCへ感染"します。
トロイの木馬的な機能はあれど、破壊活動の事例は無いようです。
対してSPACESは典型的(古典的)なメモリ常駐型ウイルスで、本体は有りません。ファイルオープンをフックして、アクセスしたファイルの末尾に自分自身を追加(感染)するタイプで、その増加サイズから亜種の存在が確認されています。MBRの破壊等を行なうことが知られています。
これらはシマンテック、トレンドマイクロ等のサイトから簡単に分かる情報です。また、以下のドキュメントなどから
http://www.symantec.com/region/jp/news/year02/020905.html
http://www.trendmicro.co.jp/virusinfo/report/mvr021202.asp
「OPASERV(ワーム)にSPACESのウイルスが感染した状態で」
「CIH自身はウイルスのためネットワークを介して感染を広げることはありませんが、Klezのようなネットワーク感染型のワームに付着し、感染を広げるケースが見られます。」
といった内容も簡単に見つかります。これらから、
1) ワームにウイルスが感染した状態(EXE末尾に追加された状態)で複写された
2) このようなことは今回(OPASERV+SPACES)が初めてではない
ということも簡単にわかります。従ってOPASERVの話題から"同じ複製機能同士で"云々という発言をすること自体が的外れだと思います。少なくとも今回の事例とはあまり関係無い話だと思います。
またこれら(ウイルス、ワーム等)の区別をせずに"相性"云々も萎えます。ただでさえメタな話は発散しやすいのですから、最低限の知識(上記の内容は30分も有れば調べられますよ)を得た上での発言をお願いします。
>EXEファイル埋めこみ型ウィルスを取りこんで勝手に自己拡張するEXEファイル埋めこみ型ウィルス
技術的に可能かどうかはサテオキ (^_^) 同種の組み合わせではあまりメリットが無いのではないかと考えます。
ウイルスは先述のとおり一般に狭い範囲での感染力しか持っておらず、それを補うために"組む"ならば現在主力のネットワーク感染型ワーム(共有フォルダ経由型、メール送付型)の方がメリットが大きいと思われます。
Nimda等の複合感染型はそれを自前で用意したタイプってことですよね。また、自前で全てを用意せず、特定のウイルスを取り込んだワームというのも存在するようですし。
・Brid(ワーム)+FunLove(ウイルス)
http://japan.internet.com/webtech/20021202/4.html
#しかし昨年のNimdaといい、AntiVirusのバージョンアップの時期と重なるのは...邪推したくなります。(^^ゞ
Re:信じられない。 (スコア:1)
>
>技術的に可能かどうかはサテオキ (^_^)
まあ、ちょっと思考実験すればこれくらいのことはすぐに思いつくはずなのに、何をやってんのかなあ、って意味で。^^;