マルウェア
非常駐型ウイルス
別称: ダイレクトアクション型ウイルス
定義
実行後にメモリに残らないウイルス。ホストプログラムが動作している間だけ対象ファイルを探し感染させ、その後終了する。
非常駐型ウイルスは古典的なファイル感染型で、同期的かつ短時間で動作します。ホストプログラムが実行されると、ターゲット(多くはカレントディレクトリや PATH 内の実行ファイル)を探し、自身のコードを追記または前置し、ホストに制御を戻して終了します。常駐しないためシステムコールへのフックやリアルタイム監視はできませんが、実装が単純で、稼働中のプロセスのみを見るツールには検知されにくい場合があります。対策としては、新規ファイル変更とプロセス生成を監視する振る舞い検知型アンチマルウェア、実行ファイルへのコード署名と整合性検証、最小権限実行などがあります。
例
- Vienna のような古典的なファイル感染型ウイルスがディレクトリを走査し .COM ファイルを感染させる。
- キャリアとなる実行ファイルが起動された時だけ動作するダイレクトアクション型ウイルス。
関連用語
コンピュータウイルス
他のプログラムやファイルに自身のコピーを挿入し、宿主が実行された際に動作する悪意のあるコード。
常駐型ウイルス
メモリ上に自身を常駐させて継続的に実行し、ホストプログラム終了後も長期にわたりファイルやプロセスを感染させるウイルス。
トロイの木馬
正規プログラムを装って利用者に実行させ、内部に潜ませた悪意のあるペイロードを発動させるマルウェア。
ポリモーフィック型マルウェア
感染のたびに再暗号化やパッキングによってディスク上の外見を変化させつつ、内部ロジックは保ったままのマルウェア。
ステルス型マルウェア
隠蔽・偽装・解析妨害などの技術を用いて、利用者・セキュリティツール・フォレンジック担当者からの検知を回避するために設計されたマルウェア。
マルウェア
コンピュータ、ネットワーク、データを妨害・破壊したり、不正にアクセスしたりする目的で意図的に作成されたソフトウェアの総称。