Computer-security-malwares
コンピューターセキュリティ-マルウェア
前の章ではシステムを保護するのに役立つウイルス対策を扱いましたが、この章ではマルウェア、それらを手動で検出する方法、その形式、ファイル拡張子、感染したコンピューターの兆候などを扱います。 最近では企業やパソコンの感染率が高すぎるため、治療することが重要です。
これらは、他の実行可能コードに添付することにより、独自のコードを再現する自己複製プログラムです。 コンピューターユーザーの許可や知識がなくても動作します。 実際のコンピューターや、他の健全なファイルを汚染するようなウイルスやマルウェア。
ただし、ウイルスはコンピューターユーザーの支援のみで外部のマシンに感染することを覚えておく必要があります。 これらは、未知の人からの電子メールが添付されたファイルをクリックし、スキャンせずにUSBを接続し、そのために安全でないURLを開くことで発生します。 システム管理者として、これらのコンピューターのユーザーの管理者権限を削除する必要があります。 マルウェアは3つのタイプに分類されます-
- トロイの木馬とルートキット
- ウイルス
- ワーム
ウイルスの特徴
以下は、コンピューターに感染するウイルスの特徴です。
*それらはコンピューターのメモリに常駐し、接続されているプログラムが実行を開始する間に自身をアクティブにします。
+* 例*-Windows OSの *explorer.exe* に常に接続しているのは、それが常に実行されているプロセスであるため、このプロセスがコンピューターの容量を消費しすぎる場合は注意が必要です。
* ソースコード、拡張機能、新しいファイルなどをソースするように、感染フェーズ後に自分自身を変更します。 そのため、ウイルス対策ソフトウェアがそれらを検出することは困難です。
* 彼らは常に次の方法でオペレーティングシステムに身を隠そうとします-
*自身を暗号化されたシンボルに暗号化し、複製または実行するときに自身を復号化します。
+* 例*-私のコンピューターでこのファイルを見つけたので、理解を深めるために次の画像でこれを見ることができます。
このファイルを見つけた後、テキストエディターで開きましたが、次のスクリーンショットに示すように、テキストは理解できないと思いました。
これを見つけた後、base64デコーダーで試してみましたが、ウイルスファイルであることがわかりました。
このウイルスは、あなたのコンピュータに以下を引き起こす可能性があります-
- 重要なデータをコンピューターから削除して、プロセスのスペースを確保します。
- ディスクデータのリダイレクトによる検出を回避できます。
- それ自体でイベントをトリガーすることでタスクを実行できます。 たとえば、感染したコンピューターのポップアップテーブルなどで、画面に自動的に表示される場合に発生します。
- これらのオペレーティングシステムには複数のファイル権限がなく、より広範囲に分散しているため、WindowsおよびMac OSで一般的です。
マルウェアの作業プロセスとそれをきれいにする方法
マルウェアはいくつかのイベントを利用することにより、プログラムに自分自身を添付し、他のプログラムに送信します。
- 自分で始める
- 非実行可能ファイルを使用して自分自身を送信する
- 他のネットワークまたはコンピューターに感染する
上記の結論から、いくつかの異常なプロセスまたはサービスが単独で実行される場合、可能性のあるウイルスとの関係をさらに調査する必要があることを知っておく必要があります。 調査プロセスは次のとおりです-
これらのプロセスを調査するには、次のツールの使用から始めます-
fport.exe
pslist.exe
handle.exe
netstat.exe
*Listdll.exe* は使用されているすべての* dllファイル*を示し、 *netstat.exe* はその変数とともに、それぞれのポートで実行されているすべてのプロセスを示します。
*netstat-ano* コマンドと一緒に使用したKasperskyアンチウイルスのプロセスをマッピングして、プロセス番号を確認し、タスクマネージャーがこのプロセスに属するプロセスを確認する方法について、次の例をご覧ください。
次に、変更、置換、または削除されたファイル*を探し、*共有ライブラリ*もチェックする必要があります。 通常、。EXE、.DRV、.SYS、.COM、.BIN *などの拡張子を持つ実行可能プログラムファイルに感染します。 マルウェアは、本物のファイルの拡張子を変更します。たとえば、File.TXTをFile.TXT.VBSに変更します。
あなたがWebサーバーのシステム管理者である場合、 webshell と呼ばれる別の形式のマルウェアに注意する必要があります。 通常、拡張子は.phpですが、奇妙なファイル名で暗号化されています。 それらを検出した場合は削除する必要があります。
その後、ウイルス対策プログラムを更新し、コンピューターを再度スキャンする必要があります。
ウイルス感染からコンピューターエラーを検出する
このセクションでは、人やシステム管理者が症状を混同することがあるため、コンピューターまたはOSの障害をウイルスから検出する方法を扱います。
次のイベントは、おそらくマルウェアによるものではありません-
- BIOSのバッテリーセル表示、タイマーエラー表示など、システムがBIOSステージで起動中のエラー。
- ビープ音RAM書き込み、HDDなどのハードウェアエラー
- 破損したファイルのようにドキュメントが正常に起動しない場合でも、それに応じて他のファイルを開くことができます。
- キーボードまたはマウスがコマンドに応答しないため、プラグインを確認する必要があります。
- 点滅や振動など、頻繁にオンとオフを切り替えるモニターは、ハードウェア障害です。
一方、システムに次の兆候がある場合は、マルウェアをチェックする必要があります。
- コンピューターにポップアップまたはエラーテーブルが表示されます。
- 頻繁にフリーズします。
- プログラムまたはプロセスが開始すると速度が低下します。
- サードパーティは、ソーシャルメディアまたはお客様からのメールで招待状を受け取っていることを訴えます。
- ファイル拡張子の変更が表示されるか、ユーザーの同意なしにファイルがシステムに追加されます。
- インターネットの速度が非常に優れていても、Internet Explorerが頻繁にフリーズします。
- コンピューターのケースのLEDライトからわかるように、ほとんどの場合、ハードディスクにアクセスします。
- OSファイルが破損しているか、欠落しています。
- コンピューターが帯域幅またはネットワークリソースを過度に消費している場合、これはコンピューターワームの場合です。
- 新しいプログラムをインストールするなどのアクションを実行していないときでも、ハードディスクの空き容量は常に占有されています。
- ファイルとプログラムのサイズは、元のバージョンと比較して変更されます。
ウイルスを回避するための実用的な推奨事項-
- 知らない人や、疑わしいテキストを含む知られている人からのメールの添付ファイルを開かないでください。
- ソーシャルメディアで見知らぬ人からの招待を受け入れないでください。
- 未知の人や、奇妙な形の既知の人から送信されたURLを開かないでください。
ウイルスの情報
ウイルスを発見したが、その機能に関してさらに調査したい場合。 一般的にウイルス対策ベンダーから提供されているこれらのウイルスデータベースをご覧になることをお勧めします。
- カスペルスキーウイルスデータベース-(http://www.kaspersky.com/viruswatchlite?hour_offset=-1)
- F-Secure -(https://www.f-secure.com/en/web/labs_global/threat-descriptions)
- シマンテック-ウイルス百科事典-(https://www.symantec.com/security_response/landing/azlisting.jsp)