マルウェア
常駐型ウイルス
別称: メモリ常駐ウイルス
定義
メモリ上に自身を常駐させて継続的に実行し、ホストプログラム終了後も長期にわたりファイルやプロセスを感染させるウイルス。
常駐型ウイルスは実行時にコードを RAM に読み込み、自身を導入したプログラムが終了した後も活動を続けます。メモリ上からシステムコールにフックし、ファイル操作を監視し、開かれた、コピーされた、保存された全ての実行ファイルや文書を感染させます。クリーンにしたファイルもすぐに再感染するため駆除が難しいのが特徴です。多くは Windows/DOS 時代のマルウェアで、割り込みやシステムサービスに自身を埋め込みます。対策としては、プロセスインジェクションやメモリフックを監視する振る舞い検知型アンチウイルス、現代 OS のエクスプロイト保護、アプリケーション許可リスト、クリーンなオフライン環境からのフルスキャンなどがあります。
例
- Randex や CMJ などの古典的な DOS 常駐型ウイルス。
- Magistr や Funlove は Windows API にフックし、実行ファイルへのアクセス時に感染を広げた。
関連用語
コンピュータウイルス
他のプログラムやファイルに自身のコピーを挿入し、宿主が実行された際に動作する悪意のあるコード。
非常駐型ウイルス
実行後にメモリに残らないウイルス。ホストプログラムが動作している間だけ対象ファイルを探し感染させ、その後終了する。
ステルス型マルウェア
隠蔽・偽装・解析妨害などの技術を用いて、利用者・セキュリティツール・フォレンジック担当者からの検知を回避するために設計されたマルウェア。
ポリモーフィック型マルウェア
感染のたびに再暗号化やパッキングによってディスク上の外見を変化させつつ、内部ロジックは保ったままのマルウェア。
ファイルレスマルウェア
ディスク上の従来型実行ファイルを使わず、主にメモリ上で動作して正規のシステムツールを悪用するマルウェア。
ルートキット
OS や機器上で高い権限を取得・維持しつつ、その存在を一般的な検知ツールから隠蔽するステルス型マルウェア。