web-dev-qa-db-ja.com

マルウェアが検出されないファイルはどのくらい危険ですか?

VirusTotalにあるすべてのウイルス対策ソフトウェアによるすべてのスキャンに成功したファイルがあるとします。それは危険ではないという意味ですか?いいえの場合、どのような危険が予想されますか?

5
R S

スキャナーで検出されないファイルがマルウェアである可能性は十分にあります。実際、ほとんどの新しいマルウェアはそのように始まると思います!悪意のあるユーザーはウイルス対策ソフトウェアにもアクセスできることに注意してください。そして、ウイルス対策ソフトウェアがそれを検出しなくなるまでマルウェアを調整することで、それを完全に利用します。 (当然のことながら、ウイルス対策会社にファイルを送信して分析を行うVirustotalや他のオンラインスキャナーではテストできませんが、オフラインスキャナーでテストを行うことはできます。)

マルウェアが世界中にリリースされ、意味のある配布が行われた後、ウイルス対策企業は最終的にそれを発見し、データベースに追加します。しかし、新しいマルウェアに遭遇した最初の数人の中にいるほど運が悪い場合、最初に遭遇したときに、ウイルス対策ソフトウェアがそのファイルをマルウェアとして検出しない可能性は十分にあります。

悪くなる。洗練された攻撃者(国など)は、選択したターゲットの非常に小さなグループにマルウェアを配布することがよくあります。意図的に配布を制限することにより、ウイルス対策会社が追いつくまでに数年以上かかることがあります。ほとんどの人がこのような高度な攻撃の標的になることは決してありませんが、たまたま攻撃を受けた場合、ウイルス対策ソフトウェアは非常に効果がなくなります。

結論:多くのウイルス対策プログラムがファイルにマルウェアのフラグを立てている場合、それがマルウェアであることを示す良い兆候です。スキャナーがファイルをマルウェアとしてフラグを立てない場合、何も結論付けることができません。

9
tlng05

アンチウイルスを回避する やその他のセキュリティ製品のためにマルウェアを作成または転送する方法については、多くの情報があります。そして、セキュリティ製品の攻撃者とベンダーは継続的に製品を改善しているため、AVを通過するマルウェアが常に存在します。つまり、すべてをブロックすると、すべての未知のマルウェアも確実にブロックされますが、実際には役に立ちません)。

このようなマルウェアを通過させるリスクは、検出されたマルウェアを通過させるリスクと同じです。ネットワークまたはマシンがいつか危険にさらされ、成功した攻撃を早期に検出し、これらから迅速に回復できるようにする必要があるだけです。

一般に、リスクは、このファイルが受信されたコンテキストとこれがどのような種類のファイルであるかに大きく依存します。信頼できる人から送信される予定のファイルであった場合、リスクは比較的低いですが、送信者のシステムが侵害されてマルウェアがファイルに埋め込まれている可能性があります。それがインターネット上のいくつかの珍しいまたは違法なサイトからダウンロードされたファイルである場合、そのようなソースがマルウェアを拡散するために定期的に使用されるため、リスクははるかに高くなります。これが純粋なテキストファイル(プレーンテキスト、Officeドキュメントなし)または画像である場合、埋め込まれたマルウェアを実行するにはローカルアプリケーションまたはOSにバグが必要になるため、リスクは低くなります。代わりに、それが実行可能ファイル、Officeドキュメント、スクリーンセーバーなどの場合、リスクは再びはるかに高くなります。

2
Steffen Ullrich

ここでは、他の良い答えに加えて、exeを長期間保存し、署名が更新されたときに定期的に再スキャンすることがベストプラクティスであることを説明します。

起こり得る危険性に関しては、それはあなたがそれがすることを期待していることだけをして、それ以上何もしないかもしれません。それはあなたが期待していることをすることができ、あなたのシステムに永続性を確立する最初の段階であるかもしれません。それ自体が破壊的である可能性があります

ソースとシステム/環境への潜在的なリスクに基づいて最善の判断をしてください。

1
J2punx

新しいコードは、少なくともシグネチャスキャン(最も一般的な分析形式)ではマルウェアとしてフラグが付けられないため、誰かがシグネチャを追加する必要があります。動的分析はそれを捉えることができますが、それを回避する方法もあります。

また、ほとんどすべてのアンチウイルスのシグネチャを持つ古いマルウェアでさえ、適切なツールでクローキングできます。ポリモーフィックなクリプターは、マルウェアをシグネチャスキャン/静的分析の影響を受けないようにすることができ、動的分析/エミュレーションを回避する方法があります。

とはいえ、ソースをチェックして自分でコンパイルしない限り、実行可能ファイルがマルウェアであるかどうかを100%確認することはできません。

1
IcaroAugusto