Entry № 751
メタモーフィック型マルウェア
メタモーフィック型マルウェア とは何ですか?
メタモーフィック型マルウェア拡散のたびに自身のコードを丸ごと書き換え、意味は等価でも構造は異なるバイナリを生成するマルウェア。
メタモーフィック型マルウェアはポリモーフィズムよりさらに進化しており、外側の暗号化層だけでなくペイロード全体を新たな感染ごとに再コンパイル・変形する。エンジンは命令置換、レジスタの名前替え、制御フローのフラット化、コードブロックの並び替え、デッドコード挿入などを行い、二つの検体が同一の挙動を示すにもかかわらず共通バイト列を持たない場合もある。これにより静的シグネチャ検知はほぼ無力化され、動的解析、意味的類似性、ふるまい型 EDR、エミュレーションベースのスキャナに頼らざるを得なくなる。実装が高度なため一般的なマルウェアには稀だが、学術研究、上級ウイルス、一部の標的型ツールキットに見られる。
● 例
- 01
研究レベルのメタモーフィック型ウイルス W32/Simile(Etap)。
- 02
Z0mbie によるコード並び替えの初期実装 ZMist(Zmorph)。
● よくある質問
メタモーフィック型マルウェア とは何ですか?
拡散のたびに自身のコードを丸ごと書き換え、意味は等価でも構造は異なるバイナリを生成するマルウェア。 サイバーセキュリティの マルウェア カテゴリに属します。
メタモーフィック型マルウェア とはどういう意味ですか?
拡散のたびに自身のコードを丸ごと書き換え、意味は等価でも構造は異なるバイナリを生成するマルウェア。
メタモーフィック型マルウェア からどのように防御しますか?
メタモーフィック型マルウェア に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
メタモーフィック型マルウェア の別名は何ですか?
一般的な別名: 自己書き換え型マルウェア, コードモーフィング型マルウェア。