くわぽんのつれづれ日記

思うが侭、つれづれに書いています。ほぼ、毎日更新中!!

コンピュータウイルス(マルウェア)を個人的見解で分類してみよう

簡単に分類の方針として、一つのマルウェアが複数の分類に所属することを極力避けましょう。

この記事は思いつきで順次更新していきます。

ではいきます。
※形態による分類
 ┠ファイルに感染する
 ┃┠ EXEに感染する
 ┃┠ 文書ファイルに感染する
 ┃
 ┠自分自身が一個のファイル
 ┃┠ EXE、COMなど実行形式ファイルである
 ┃┠ DLLファイルである
 ┃┠ JSなどスクリプトファイルである
 ┃
 ┠ファイルという形式を持たない
  ┠ レジストリに自信を隠す
  ┠ BIOSに感染する

※挙動による分類
 ┠ いたずらや楽しませることが目的である
 ┃┠ 人を驚かせる
 ┃┠ 歌を歌う
 ┃┠ お礼を言ったりお祝いをしたりする
 ┃
 ┠ 金銭目的である
  ┠ PCの処理能力を不正に利用して換金する
  ┃┠ DDoSボット
  ┃┠ スパムメールボット
  ┃
  ┠ PCから情報を盗んで換金する
  ┠ ユーザを脅迫して金銭を得る
  ┠ ネットバンキング経由で銀行口座からお金を盗む
 
ぬぅ


スポンサーサイト
  1. 2017/04/27(木) 13:30:00|
  2. セキュリティBlog
  3. | トラックバック:0
  4. | コメント:0

IoTウイルス三つ巴(?)の戦い

■IoT(物のインターネット)
IoT(物のインターネット)と言われて自分に関係あると思っている人は非常に少ないと思う。

広義には、PCやサーバ、スマホやケータイ、比較的高機能なゲーム機を除くインターネットにつながる機器全般のこと。

現在最も問題になっているのは、安価で大々的に販売されている監視カメラなどのインターネット接続のカメラがメインだろう。
実は、テレビを録画するHDDレコーダやテレビそのものもIoTの機器になる。

ここで問題にされる特徴は、これらの機器が、一度インターネットに接続された後は放置される傾向が強いこと。
監視カメラを毎日メンテナンスする人や操作する人はまずいない。

として、設置するときに、既定値のまま設置されることが多いこと。
ユーザ名やパスワードがマニュアルに載っているものから変更されずに設置されているため、誰でも侵入して悪さできる。
ひどい機器になると、そもそもユーザIDもパスワードも変更できない。

■IoTウイルスの出現
このインターネットに接続されてまま放置されている機器に目をつけて犯罪者がいた。
パスワードが変更されていない機器を見つけ出し、ウイルスに感染させ、巨大なBotネットを構築し、企業のWebサイトなどを攻撃し始めたのだ。
一台一台は性能が低くても、とにかく数が多い。
受けて立つほうは大変だ。
少なく見積もって数万台のIoT機器が大量のパケットを送りつけてくるのだ。
このウイルスには「MIRAI」と名付けられた。

■正義のハッカー出現(?)
「MIRAI」の猛威に終止符を打つべく、正義のハッカーを自称するものが現れ、「MIRAI」に感染した機器から「MIRAI」を追い出すウイルスを作った。
「HAJIME」である。
ここまでは、何故か名前が日本語に由来しているっポイ。
とはいえ、この「HAJIME」は追加機能を
組み込める形で作られており、正義のハッカーを自称するものが悪用を始める危険が指摘されていた。

そんな中、第3の勢力が現れた。
この第3の勢力は過激だ。「放置されているIoT機器が悪用されるなら破壊してしまえ。」ということで、IoTのファームウェアを破壊して機能しなくしてしまう。
「BrickerBot」と呼ばれている。

現在、インターネットはこれらのIoTウイルスが機器の主導権を奪い合っている。

■対策は?
・ユーザIDやパスワードは既定値を使わないこと。
・対策は、中国製の安価なネットワーク接続の機器は買わないこと。
 (ユーザIDパスワードが変更できないことがあるため。)

また、IoT機器そのものはウイルス対策ができないため、ネットワーク上で対策する必要がある。
試していないので効果のほどはわからないが、日本国内で手に入る家庭用機器では、2製品がある。
bitdefender box
 デフォルトゲートをbitdefender boxに変更して、通信を監視する。
 DHCPサーバをbitdefender boxにするのが推奨される使い方。
ウイルスバスター for Home Network
 ARPスプーフィングを使って通信を監視する。らしい。

というわけで、また
(^^)/~~~
  1. 2017/04/25(火) 13:06:00|
  2. セキュリティBlog
  3. | トラックバック:0
  4. | コメント:0

ウイルス対策ソフトのデフォルト値は見直したほうがいい

ウイルス対策ソフトのデフォルト設定は、大昔からほとんど変わっていない。

特に問題なのが、ウイルス検知時の処理の部分だ。
ほとんどの場合、
まず「駆除」できなければ「削除」よくて「隔離」となっていると思う。

これは、昔のウイルスの対応としては正しかった。
ほとんどのウイルスは悪さこそすれ、実害がないことが多かったからだ。

しかし、今のウイルスは、「情報の窃取」「不正送金」「詐欺」など、刑事事件に直結するものがほとんどだ。
そこで、「駆除」「削除」などを選択されるということは被害者自ら証拠隠滅に協力しているに他ならない。

ウイルス対策ソフトは、犯罪の証拠を扱うソフトである。証拠を隠滅してはならない。
と私は考えている。

しかし、世の中のウイルス対策ソフトは、私の知る限り、例外なく、「証拠隠滅」を行う。

ウイルス対策ソフトベンダーは、ウイルス対策ソフトに証拠を保全する機能を持たせるべきであると主張したい。

私は以前、複数社のウイルス対策ソフトベンダーにこの主張を伝え、デザインチェンジを要望したが、どこも応じてくれなかった。

もう、今から10年程前のことだ。

今まさに、この機能が必要になってきていると思う。

皆様の意見はどうだろうか。


それはさておき、ウイルスを検知した時に自分で証拠を収集する自信がある人は、ウイルス対策ソフトの設定を「ブロック」「放置」などに変更するべきだと思う。

ファイルの作成日付や更新日付、ファイルそのものは感染経路の特定や、いつからいつまでの情報が盗まれている可能性があるのかなど、いろいろなことを教えてくれる。

ウイルスは「検知」されると、「よかった」で終わってしまうケースが多いかもしれないが、
「検知」は、調査の始まりなのだ。

PCでウイルスが検知されたら、そのPCでアクセスしたことのあるWebページのパスワードが盗まれているかもしれない。
SNSが乗っ取られているかもしれない。
不正な注文が自分のクレジットカードで行われているかもしれない。
銀行口座が空っぽにされているかもしれない。

パスワードの変更を急いで行って、不正利用されていないかどうかの調査を行う必要がある。

「検知」して終わりにならないようにご注意いただきたい。
  1. 2017/04/20(木) 13:23:00|
  2. セキュリティBlog
  3. | トラックバック:0
  4. | コメント:0

URSNIFが猛威を振るっています。

私の身の回りで、コンピュータウイルス「トロイの木馬」の一種である「URSNIF」が猛威を振るっています。

クロネコヤマトを装ったスパムメールなど(そのほかのスパムメールも確認しています)で配布されています。

この「URSNIF」(あーすにふ)の特徴は、

  1. ネットバンキングのURL、ユーザID、パスワード等を盗んで不正送金で講座の中のお金を盗む
  2. キーロガー機能があり、
 などが外部に送信される

といったものです。
感染中にWebメールを使っていると、メールの内容がきれいさっぱり抜かれてしまいます。
WebサービスのユーザID、パスワードも「POST内容」としてや、キー入力、コピーペーストでも抜かれてしまいます。

どんな情報が抜かれたか調べたい場合は、エクスプローラのアドレスバーに
「%LOCALAPPDATA%\temp」
と打って表示されたとことから拡張子「*.bin」のファイルを集めて、拡張子を「.zip」に変更して解凍します。
解凍した結果は、テキストファイルなので、テキストエディターで開けば内容が見えます。

キーロガーの性質として、キー入力内容は日本語変換する前のローマ字や、かな入力の場合にはその入りの英文字や記号で表示されます。

また、その情報が相手に送信されてしまっている可能性については、
「%LOCALAPPDATA%\temp」
と打って表示されたとことから拡張子「*.bi1」ファイルの中に自分のグローバルアドレスが記録されていたら、まず送信されていると考えてください。

今のところ、私の周りでは「URSNIF」に感染した端末が別なウイルスにも感染したという事例はありませんが、他のウイルスを引き込む機能がないということではなさそうなので、一度ウイルスに感染した端末は必要なデータのバックアップを取ってクリーンインストール(OSを初期状態に戻す)をお勧めしています。

それでは(^^)/~~~
  1. 2017/04/14(金) 13:21:17|
  2. セキュリティBlog
  3. | トラックバック:0
  4. | コメント:0

PC Pitstopの「PC Matic」を使ってみた

「PC Matic」は、PCのチューニングソフトとセキュリティ対策ソフトが一緒になった製品で、
私は、主にセキュリティ製品として使っている。

いわゆる、ウイルス対策ソフトの機能だ。

多くのウイルス対策ソフトがブラックリスト型のウイルス対策ソフトなのに対して、
PC Maticはホワイトリスト型のウイルス対策ソフトとブラックリスト型のウイルス対策ソフトを併用している形だ。


ブラックリスト型ウイルス対策ソフトは、ウイルスの特徴をブラックリストとして一覧にして、
合致するものをウイルスとして判定するものだ。
特徴として、未知のウイルスに弱い。


それに対して、「PC Matic」は、世の中に存在する安全なソフトをホワイトリストとして登録する。
一般的に、ウイルスなどの不正ソフトは正規の安全なソフトに比べて圧倒的に数が多いので、
対応がが少なくて済むという特徴がある。

また、ホワイトリストに登録されていないものが発見されたら、とりあえず、実行を阻止してブラックリストで検索する。
既知のウイルスなら、この時点でウイルス名が判明する。

未知のウイルスや未知の正規の安全なソフトなら、PC Pitshopに送って解析すればいいので、早期な対応が可能になる。

考えられる問題としては、スクリプト型のウイルスへの対応が難しいということだろう。
実際まだその辺は確認していないが、コードサイニングが可能なOfficeのマクロは対応可能札として、
要注意なのは、Java Scriptファイル系かな?


使ってみると、古いフリーソフトの一部など、引っかかるものはあるが、最新にすると問題なく動作した。
また、マイナーなゲームは引っかかるものがあったが、動くようにホワイトリストに登録することもできるので、
特に問題なく使うことができた。

思いのほか信用できそうなので、期間無制限のライセンスに切り替えようかと思っている。

費用は、ほぼ差額の12,000円

まぁまぁかな。

では(^^)/~~~
  1. 2016/06/10(金) 13:32:18|
  2. セキュリティBlog
  3. | トラックバック:0
  4. | コメント:0
次のページ

アクセスカウンター

オンラインカウンター

現在の閲覧者数:

プロフィール

くわぽん

Author:くわぽん
くわぽんのブログへようこそ!
気が向いたらコメントください♪

アフィリエイトバナー

レンタルサーバーなら使えるねっと
コメント:思った以上に使える
  レスポンスのよいWindowsVPS
     2年契約なら結構安い

ここから上は実際に使ってみてよかったものだけ掲載しています。

JR東日本時計

東京ステーションシティ倶楽部
公式ブログパーツ

blogramランキング投票ボタン

blogram投票ボタン

ブロとも申請フォーム

この人とブロともになる

リンク

このブログをリンクに追加する

カテゴリ

D4でモバイル生活 (28)
風来人観察日記 (66)
ゲーマーの独り言 (181)
つれづれ日記 (113)
音楽を持ち歩く (47)
Windows Home Server 管理日記 (90)
Dolce Gustoとの日がな一日 (22)
お篭り部屋構築日記+愚痴 (53)
ウツ(鬱) (99)
未分類 (740)
So-Netの名残 (4)
DNNを使いましょう (26)
コカコーラとのお付き合い (9)
RPGを語る (4)
テレビにパソコン生活 (3)
”使えるねっと”は使える? (12)
Android日記 (4)
再生した地球にて (29)
セキュリティBlog (9)

検索フォーム

月別アーカイブ

blogram

Coca-Cola

ブログ通信簿

FC2ブログランキング

FC2Blog Ranking

アクセストレード

QRコード

QRコード