Mais conteúdo relacionado
Mais de Mizuhiro Kaimai (20)
Pictlet #3 ファイルレスウィルス
- 1. Pictlet #3
ファイルレスウィルス
アイデアクラフト 開米瑞浩
✓ 本書はファイルレスウィルスに関する図解表現方法を分析・例示したピクトレットです。
✓ 本書の著作権は開米瑞浩が保持しますが、図版の引用にあたって著作権表記をしていただく必
要はありません。本書の図版は自由に引用/改変使用可能です。
✓ 本書の内容についての技術的正確性は保証しません。
✓ 本書についての誤りの指摘や改善提案、別案の提供は末尾記載の連絡先までお願いします。
- 2. Copyright アイデアクラフト 2017
箇条書きテキスト
1
今回のテキストは、ファイルを作らないウィルスについての説明文
(出典元の記事の文を簡略化して作ったものです)
感染のトリガーになる TROJ_ANDROMはUSBメモリーに潜んでいる。ユーザーがUSBメモリーをPCに接続してTROJ_ANDROM
を実行すると、あるプログラムがレジストリに書き込まれる。
その後パソコンを起動するとこのプログラムが自動実行され、JS_POWMETをダウンロードして実行する。JS_POWMETの実体は
JavaScript で、メモリーに直接読み込まれて実行され、ファイルとしては保存されない。
JS_POWMETは、TROJ_PSINJECTという別のウイルスをダウンロードして実行する。TROJ_PSINJECTの実体はPowerShellの
スクリプトで、やはりメモリーに直接読み込まれて実行され、ファイルとしては保存されない。
TROJ_PSINJECTは、さらに別のWebサイトからfaviconという名称のファイルをダウンロードし、メモリーに読み込む。ファイ
ルとしては保存しない。
このfaviconの中には、また別のウイルスBKDR_ANDROMが暗号化されて仕込まれている。このウイルスが最終的に実行される
ウイルスだ。TROJ_PSINJECTは、favicon中のBKDR_ANDROMを復号し、TROJ_PSINJECTのプロセスの一部として実行する。
BKDR_ANDROMはパソコンの設定情報や管理者アカウントの情報を盗んで攻撃者に送信する。
TROJ_ANDROMから始まる一連のウイルス感染では、JS_POWMET、TROJ_PSINJECT、BKDR_ANDROMが次々とダウンロー
ドされて実行されるが、いずれもファイルの形を取らず、メモリーに直接読まれて実行される。最初のトリガーとなる
TROJ_ANDROMもUSBメモリーに潜んでいるため、パソコン上には一切ファイルが作られない(レジストリの一部にデータが残
る)。
(出典:http://itpro.nikkeibp.co.jp/atcl/column/14/346926/090501112/?P=3 を元に簡略化)
さて、これを図解してみます
- 5. Copyright アイデアクラフト 2017
お問合せおよびご感想受付
本書への質問、感想を歓迎します。下記お問い合わせ先へお送り
ください。
お問い合わせ先 : http://ideacraft.jp/contactnotice/
IT技術者として働くうちに、複雑な情報をわかりやすく表現する必要性を感じ、その技術を研究。その経験を活かし、 2003年
に社会人研修業務を起業。情報を論理的に整理し図解して「見える化」する技術と習慣の啓蒙・普及に取り組んでいる。
担当プログラム
□エンジニアの文章図解・情報整理術
□エンジニアのプレゼンテーション講座
□難解な文書の持ち込み改善ワークショップ
公開講座・講演等実績
中部産業連盟 日本テクノセンター SMBCコンサルティング
日経BP社 その他、電機メーカー/航空サービス/光学機器メーカー等
著書等
2017年 3月 日経SYSTEMS誌3月号 ロジカルシンキング特集
2016年12月 (書籍)エンジニアを説明上手にする本 翔泳社
2014年 6月 (書籍)エンジニアのための伝わる書き方講座 技術評論社
2010年10月 (書籍)エンジニアのための図解思考再入門講座 翔泳社
著者プロフィール 開米 瑞浩
4
