(1) 本文中の下線③の工夫を、マルウェアの機能の観点から二つ挙げ、それぞれ20字以内で具体的に述べよ。
公式解答例:パック処理されていること(12文字)
公式解答例:タイムスタンプを変更していること(16文字)
管理人回答:パック処理し実行時にデコードし実行する(19文字)
管理人回答:ファイルのタイムスタンプを書き換える(18文字)
この問題は、タイムスタンプでファイルが目立つことや、パック処理でパターンファイル回避を想像できないと難しいかもしれません。
ウイルス/マルウェア作成者がウイルスを隠す手口について勉強しておくといいでしょう。
解説
③マルウェアを発見されにくくする工夫ですから、答えはまた「表2 マルウェアの解析結果の概要」の中にあります。
- ML1~ML5はパック処理されている。パック処理とは、マルウェア本体をエンコードし、それをデコードするための展開コードを付加して一つのファイルにすることである。ファイル実行時に、展開コードがマルウェア本体をデコードし、実行する。
- ML2~ML5は、OSのシステムフォルダに配置される際に、ファイルのタイムスタンプを特定のシステムファイルと同じものに書き換える。
- ML2~ML5は、感染したPCのパーソナルファイアウォール及びJ社が利用するウイルス対策ソフトのファイアウォール機能を無効にする。
管理人が問題文を読んでいて気になったのはこの3箇所でした。
- パック処理をしている=ウィルス対策ソフトのパターンファイルに引っかからないようにしている
- タイムスタンプを変える=ファイルのタイムスタンプでソートした時に目立ってしまうのを回避する
- ファイアウォールを無効化=ファイアウォールのログに残って目立つのを回避する
そんなわけで、以下の2つも候補に上げましたが、パック処理とタイムスタンプの方が当たりっぽいなとファイアウォールは切り捨てました。
ウイルス対策ソフトのFWを無効にする(18文字)
パーソナルファイアウォールを無効にする(19文字)
ちなみに、パック処理の方はヒューリスティック法を使うウイルス対策ソフトだと余計に目立ちそうですが、深読みし過ぎも禁物です。
最終更新:2013年07月31日 22:42
