アカウント名:
パスワード:
一方、OPASERV は「自分自身」をどうやってばらまくんだろう
the worm copies itself as this file name [Symantec]
the worm attempts to copy itself to \Windows\ScrSvr.exe on the remote machine. [Mcafee]
The worm attempts to copy itself to the Windows folder on networked computers with open shared drives. [Sophos]
だけですね。その「copy」の仕組みは載っ
あと、ファイルシステムをOSを介して使用すると、ファイルコピーを使用する 根拠になるというのはどういう理由なのでしょうか? ファイ
で、とりあえず自分が考えられる自己複製機能は (1)内部データによる生成と(2)外部コマン
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
ちょっと信じられない。 (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:ちょっと信じられない。 (スコア:4, 参考になる)
OPASERVは自分自身の.exe(ScrSvr.exe)を他のPCへバラまきます。
なので、SPACESがScrSvr.exeへ自分自身を埋め込んで、OPASERVが他のPCにバラまいたのではないかと思われます。
Re:ちょっと信じられない。 (スコア:1)
一方、OPASERV は「自分自身」をどうやってばらまくんだろう
-- 哀れな日本人専用(sorry Japanese only) --
信じられない。 (スコア:1)
Re:信じられない。 (スコア:1)
だけですね。その「copy」の仕組みは載っ
-- 哀れな日本人専用(sorry Japanese only) --
Re:信じられない。 (スコア:1)
Re:信じられない。 (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:信じられない。 (スコア:1)
Re:信じられない。 (スコア:1)
あと、ファイルシステムをOSを介して使用すると、ファイルコピーを使用する 根拠になるというのはどういう理由なのでしょうか? ファイ
-- 哀れな日本人専用(sorry Japanese only) --
Re:信じられない。 (スコア:1)
その場合、そのメタな話にOpaservとSpacesの細かい具体的な動作の解析が必要な理由がよくわかりませんが。
Opaservはネットワーク上の他のPCに自分自身の本体EXEファイルを複製するタイプのウィルスで、Spacesはメモリに常駐していてEXEファイルに自分の本体データを埋
Re:信じられない。 (スコア:1)
> 解析が必要な理由がよくわかりませんが。
たぶん、sakamoto氏は「Opaserv+Spacesが作成するコピーは本当に
Opaserv+Spacesなのか」という話がしたいのではないでしょうか。
たとえば、Opaserv実行ファイルであるScrsvr.exeの自己複製が作ら
れる方法として、
1. copy Scrsvr.exe Scrsvr2.exe を実行する
2. Scrsvr.exe が、Opaservのバイナリを1bitずつディスクに吐き出す
といったものが考えられますが、前者であればO
Re:信じられない。 (スコア:1)
で、とりあえず自分が考えられる自己複製機能は (1)内部データによる生成と(2)外部コマン
-- 哀れな日本人専用(sorry Japanese only) --
Re:信じられない。 (スコア:1)
以下ちゃんと検討してないのであまり意味はない
他の方の書き込みにあったようにウィルスに悪意コードを埋めこまれたEXEファイルで見られるパターンというのがあります。
そういうファイルをさがして、その悪意コードの「前に」自分のコードを埋めこむウィルスってのがあるとしましょう。
こいつは自分を実行した後、その後ろのブロックの(別のウィルスの)悪意コードに制御を移してそっちも実行するようになっているとします。
そのウィルスが新たなファイルにコードを埋めこむときに自分が今起動されたEXEファイルの自分のコードから後ろを全部読みこんで使用するようになってる(メモリ上の占有領域を削るため)とすれば、
EXEファイル埋めこみ型ウィルスを取りこんで勝手に自己拡張するEXEファイル埋めこみ型ウィルスってのが作れますよね。(本当かなあ?(笑))
こういうウィルスが二種類あったらどうなるか、とか?
Re:信じられない。 (スコア:1)
同感、単なる「思いつき」レベルの話と思われます。
OPASERVは所謂ワームに分類され、本体はScrSvr.exe(亜種もあり)です。ワームですから"他のファイルへの感染"はしませんが、共有ドライブ経由で自己を複写することで"他のPCへ感染"します。
トロイの木馬的な機能はあれど、破壊活動の事例は無いようです。
対してSPACESは典型的(古典的)なメモリ常駐型ウイルスで、本体は有りません。ファイルオープンをフックして、アクセスしたファイルの末尾に自分自身を追加(感染)するタイプで、その増加サイズから亜種の存在が確認されています。MBRの破壊等を行なうことが知られています。
これらはシマンテック、トレンドマイクロ等のサイトから簡単に分かる情報です。また、以下のドキュメントなどから
http://www.symantec.com/region/jp/news/year02/020905.html
http://www.trendmicro.co.jp/virusinfo/report/mvr021202.asp
「OPASERV(ワーム)にSPACESのウイルスが感染した状態で」
「CIH自身はウイルスのためネットワークを介して感染を広げることはありませんが、Klezのようなネットワーク感染型のワームに付着し、感染を広げるケースが見られます。」
といった内容も簡単に見つかります。これらから、
1) ワームにウイルスが感染した状態(EXE末尾に追加された状態)で複写された
2) このようなことは今回(OPASERV+SPACES)が初めてではない
ということも簡単にわかります。従ってOPASERVの話題から"同じ複製機能同士で"云々という発言をすること自体が的外れだと思います。少なくとも今回の事例とはあまり関係無い話だと思います。
またこれら(ウイルス、ワーム等)の区別をせずに"相性"云々も萎えます。ただでさえメタな話は発散しやすいのですから、最低限の知識(上記の内容は30分も有れば調べられますよ)を得た上での発言をお願いします。
>EXEファイル埋めこみ型ウィルスを取りこんで勝手に自己拡張するEXEファイル埋めこみ型ウィルス
技術的に可能かどうかはサテオキ (^_^) 同種の組み合わせではあまりメリットが無いのではないかと考えます。
ウイルスは先述のとおり一般に狭い範囲での感染力しか持っておらず、それを補うために"組む"ならば現在主力のネットワーク感染型ワーム(共有フォルダ経由型、メール送付型)の方がメリットが大きいと思われます。
Nimda等の複合感染型はそれを自前で用意したタイプってことですよね。また、自前で全てを用意せず、特定のウイルスを取り込んだワームというのも存在するようですし。
・Brid(ワーム)+FunLove(ウイルス)
http://japan.internet.com/webtech/20021202/4.html
#しかし昨年のNimdaといい、AntiVirusのバージョンアップの時期と重なるのは...邪推したくなります。(^^ゞ
Re:信じられない。 (スコア:1)
>
>技術的に可能かどうかはサテオキ (^_^)
まあ、ちょっと思考実験すればこれくらいのことはすぐに思いつくはずなのに、何をやってんのかなあ、って意味で。^^;