システム領域感染型
フロッピーのブートセクタや、ハードディスクのマスターブートセクタに感染します。
ファイル感染型
一般に、実行可能ファイルに感染するものですが、
sys、dll、objに感染するものもあります。
元のファイルに対して、
追記するタイプ、
上書きするタイプ、
部分的に虫食いのように改変するタイプがあります。
マクロ型
ワープロや計算表などで使えるマクロと呼ばれる簡易言語(インタープリタの一種)
を利用したウイルスで、ドキュメントを開くと時の
実行で感染します。
グローバルテンプレートに書き込まれたウイルスを、
新規に作成したドキュメントに埋め込むものや、
メール添付を介した感染があります。
複合感染型
システム領域感染とファイル感染が可能とういうように、
複数の感染パターンをもつものです。
携帯端末への感染型
携帯端末や、携帯電話に感染するものもあります。
29Aと呼ばれる国際的にウイルス作成するギャング的な組織が存在し、
そこで、WindowsCE用のウイルスWinCE4.Dustと
携帯用ウィルスCabirが作られたことが報告されています。
メモリ常駐機能
メモリに常駐して、なにかのプログラムが実行されるのを監視し、
ロードされたプログラムに感染する機能です。
ステルス機能
システム管理プログラムの実行を監視し、
そのプログラムの実行に対して、感染を隠すような働きをする機能です。
例えば、ウィルスに感染しているファイルサイズを調べると、
感染前のサイズを表示するようにう働きかけます。
ポリモーフィック(polymorphic)機能
または、ミューテーション(mutation)と呼ばれるもので、
感染する時のウイルス部分埋め込みで、
ランダムに暗号化したものを使います。
これにより、
感染したファイルが毎回違うため、
単純なパターンマッチングによるウィルス検出では
見つけられなくなっています。
それでも以前は、復号化する時に使われる「プログラム部分」と、ウィルスのある暗号化された本体を
区別することができ、この変化しない「プログラム部分」のパターン
を調べることで、対処できました。
しかし、
プログラム全体を毎回異なる方式で圧縮した自己解凍型のファイルにする
などといった
方法で変化させるものがあります。
このようなパターンマッチング検知が難しい場合に使われる対策手法として、
ヒューリスティック手法とジェネリック手法があります。
ヒューリスティック手法は、
ウイルスが持つ固有の『挙動』を判断基準とする手法です。
これには、コードからふるまいを予測して判断する静的な手法と、
メモリ上で仮想的なもう一つのコンピュータを作り、
その中で実際に実行させて
その挙動で判断する動的的な手法があります。
ジェネリック手法は、
実行しているプログラムを常に監視して、
不正な動作を行う寸前にその実行を遮断する手法です。
メールによる感染
感染から送られるメールで感染するケースです。
2001年に発生したワームNimdaは、当時のMicrosoft Outlook Exressの脆弱性を
突いて、メールをプレビューしただけでも感染する機能がありまた。
これは、メールがHTMLの場合に、MIMEヘッダーに対応している添付ファイルの
自動実行を悪用したものです。
IPA参考ページ
メールの添付ファイルの取り扱い 5つの心得
ファイルのダウンローによる感染
・ファイル共有ソフトなど、インターネットからダウンロードしたファイルより感染
・感染したホームページ閲覧による感染
・インターネットなどを用いた非合法に配布・販売されている商用ソフトウェアは、
Warez(ウェアーズ)と呼ばれ、それによる感染(ウイルスやトロイ木馬が仕込まれるケースが多い。)
ネットワークによる感染
・感染したファイルサーバーからのLAN経由感染
・ワームによるネットワーク感染
文書・データファイルの共有による感染
企業では、ワードや計算表に
定型フォーマットを使うことが多く、これを共有している環境では、
これがウイルスに感染すると短時間で全体に広がるので、開く前にチェックすべきです。
(マクロ型のウイルスです)
メディアによる感染
雑誌付録のCD-ROMやDVD、利用者間のデータ交換に使うフロッピーやUSBメモリ、
コンパクトフラッシュ、SDカードなど、
あらゆるメディアが感染源になりえます。
感染は、内部に記録させるプログラム実行によって感染するので、
自動的に実行させる「自動再生」の機能を無効する指定を
しておくのがよいでしょう。
IPA参考ページ
USB メモリのセキュリティ対策
USBワームの感染対策
感染したUSBには、「ワーム本体」と「autorun.infのファイル」が保存され、
USBメモリの接続や、開く操作をトリガーにして感染します。
これは、接続時や開く操作時の処理が
autorun.infに記述通りに行われるというWindowsの仕組みを悪用しています。
対応策として、
USBメモリのルートに「autorun.inf」という名前のフォルダを先に作成しておくことで、
USBワームによる不正な「autorun.inf」ファイルを作成させないという方法があります。
参考:
総務省のウィルス情報