Entry № 835
非常駐型ウイルス
非常駐型ウイルス とは何ですか?
非常駐型ウイルス実行後にメモリに残らないウイルス。ホストプログラムが動作している間だけ対象ファイルを探し感染させ、その後終了する。
非常駐型ウイルスは古典的なファイル感染型で、同期的かつ短時間で動作します。ホストプログラムが実行されると、ターゲット(多くはカレントディレクトリや PATH 内の実行ファイル)を探し、自身のコードを追記または前置し、ホストに制御を戻して終了します。常駐しないためシステムコールへのフックやリアルタイム監視はできませんが、実装が単純で、稼働中のプロセスのみを見るツールには検知されにくい場合があります。対策としては、新規ファイル変更とプロセス生成を監視する振る舞い検知型アンチマルウェア、実行ファイルへのコード署名と整合性検証、最小権限実行などがあります。
● 例
- 01
Vienna のような古典的なファイル感染型ウイルスがディレクトリを走査し .COM ファイルを感染させる。
- 02
キャリアとなる実行ファイルが起動された時だけ動作するダイレクトアクション型ウイルス。
● よくある質問
非常駐型ウイルス とは何ですか?
実行後にメモリに残らないウイルス。ホストプログラムが動作している間だけ対象ファイルを探し感染させ、その後終了する。 サイバーセキュリティの マルウェア カテゴリに属します。
非常駐型ウイルス とはどういう意味ですか?
実行後にメモリに残らないウイルス。ホストプログラムが動作している間だけ対象ファイルを探し感染させ、その後終了する。
非常駐型ウイルス からどのように防御しますか?
非常駐型ウイルス に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
非常駐型ウイルス の別名は何ですか?
一般的な別名: ダイレクトアクション型ウイルス。