ウィルスを作成する人たちも、いろいろなことを考えているようですね。
「パスワード保護」されたウイルス出現、狙いは「対策ソフトの回避」:ITpro
以下、ITproからの引用。
今回報告されたメールは、添付されたウイルスファイルを、グルジア紛争に関連した衝撃写真に見せかけて開かそうとする(図1)。メールは英語。件名は「Journalists shot in Georgia(グルジアでジャーナリストが撃たれる)」。メールの本文には、「添付されているファイルは、グルジア紛争を取材中のジャーナリストが撃たれた瞬間を写したもの」といった内容が書かれている。
そして、ファイルはパスワード保護された圧縮ファイル(ZIPファイル)であり、そのパスワードは「123」であるといったことが記述されている。
実際、添付されているファイル「Georgia.zip」は、パスワード保護された圧縮ファイル。パスワードとして「123」を入力すると展開されて、「joined.exe」という実行形式ファイルが生成される(図2)。これがウイルスの実体。実行すると、攻撃者のWebサイトから、いわゆる「偽ソフト(偽のセキュリティソフト)」をダウンロードして実行する。
確かに、最近のプロバイダや企業のメールサーバーでは、ウィルスチェックサーバーを用意していることも多いので、普通のウィルスはこのサーバーにおいて駆除されてしまう可能性は高いわけで。
逆に、ウィルスサーバーを経由しているからといって、上記のようなウィルスは大抵のウィルスチェックソフトの場合、検知は難しいはず。
ただ、報告元のトレンドマイクロによると、
とのこと。ただ、圧縮ファイルそのものをウィルスとして定義していいのか?、という点については利便性の観点から言えばおおきく疑問が残りますね。ただし、圧縮ファイルに含まれるウイルスに対応した対策ソフトを使っている場合には、展開された時点で検出・駆除されるので、感染する恐れはない。また、トレンドマイクロなどでは、圧縮ファイルそのものをウイルスとして登録しているので、展開前に検出・駆除できるとしている。
0 コメント:
コメントを投稿