web-dev-qa-db-ja.com

マルウェアの作成者がこのようなばかげた目的のためにそのような賢い技術を使用するのはなぜですか?

数日前、私はマルウェアに感染しました。それは止められず、その後スキャンツールがそれを検出できなかったためです( この質問 を参照)。

それは2段階の感染でした:最初に明らかなマルウェアがInternet Explorerを介して侵入し(完全にパッチが適用されたため、おそらくまだ未知の穴がいくつかあります)、実行を開始し、すべてのファイルを非表示にしたり、偽のシステム警告ポップアップを表示したり、 「ディスクコントローラーの誤動作」のために再起動します。これはおそらく、私をだまして再起動させて実際のマルウェアをロードさせる方法でした。次に、これが削除された後(非常に簡単に、単純なRun Registryキー)、ルートキットが残りましたが、まったく検出されませんでした...それ Google検索の乗っ取りやバックグラウンドの起動など、ばかげたこともやっていますiexplore.exeタスクマネージャにはっきりと表示されたプロセス(ただし、何をしていたのか)。ついに、システムドライブのMBRとブートセクターを書き換えることで、それを取り除くことができました。ローダーコードは隠されていました。しかし、あのが実際に何をロードしていたのかまだわかりません。

私が今疑問に思っているのは、マルウェアを書く人々がますます高度なステルス技術を使用して巧妙になっていることです...それでも、彼らはこれらの強力なツールを使用して広告を表示するなどのばかげたことを今でも続けていますeveryoneは、マルウェア感染の確かな兆候として認識します(とにかく、誰がクリックしたのですか?)。検索のハイジャックとバックグラウンドではなかった場合iexplore.exeプロセス、「メイン」感染後もルートキットがまだ存在しているとは思いもしませんでした...そして、「メイン」感染がattrib.exeで大騒ぎして、すべてのファイルが消えたと思わせてしまった場合、私はそれに気づかなかっただけで、次回の再起動時にルートキットを自由にロードできました(つまり、自宅のコンピュータであれば、多くても1日で起こっていたはずです)。

そのようなステルスルートキットは、存在を示すための努力をしなければ、longの間そこに留まっていた可能性があります。キーロガーのインストールやボットネットへの参加など、realダメージを与える可能性があります。これもdidかもしれません...しかし、マシンが感染していることが明らかだったので、私はそれをクリーニングする方法を探し始めました。それを見つけました(または、そうでなければ私はフォーマット済みですが、とにかくそれを確認します)。

それで、疑問が残ります:なぜこれらの巧妙な感染とステルス技術のすべてが、役に立たない広告を表示することに浪費されているのですか?

malwarevirusrootkits
29
Massimo

様々な理由:

攻撃者は多くの場合開発者ではありません-マルウェアの開発者は誰にでもパッケージを販売します-ペイロードは攻撃者によって定義されます。一部の攻撃者はステルスになりたがります-実際にはそうではない人もいますが、実際には明白で悪名高いことを喜ぶ人もいます。

練習-テクニックの開発

無関心/無知-アンチウイルスやマルウェアのクリーナーをクリックしても解決できない問題を修正するのは、エンドユーザーにはまったく得意ではありません。

お金-クリックスルーとクリックジャッキングはかなりのお金を稼ぐことができます。 Viagra/Cialisスパムも金を稼ぎます。偽のマルウェア除去ツールのダウンロードは、多くのお金を稼ぐことができます。

26
Rory Alsop

答えは単純で、 生存者バイアス と呼ばれる 人類学の原理 と同様の現象です。そこにあります長期間実行されないステルスウイルスは、これを行わないためです。それらについて、彼らが隠密であるというまさにその理由のために。あなたが本当に求めているのは、「なぜ私が目にするステルスウイルスの数と比較して、多くの非ステルスウイルスが表示されるのですか?」ということです。しかし、もちろん、あなたは隠密なものを見ません。

12
Lily Chung

私の最初の推測は:お金です。そして私の第二は:挑戦です。最終的には、いたずらを追加できます。 (たぶん、開発された最初のマルウェア:D)

しかし、マルウェアはワームやウイルスでもあります。したがって、潜在的な利益を追加する可能性があります。

  • コンピューター(ボットネット、プロキシ)にアクセスできる=>ステルス
  • 価値の高いデータを盗む=>パワー、評判
  • エンドユーザーを怖がらせ、お金を稼ぐ=>欺瞞

直接的または間接的に、それはお金を意味します。

多分それらの1つは世界の支配のためです。 (冗談で?)

1
M'vy

FakeAlertまたは偽のウイルス対策/ PCブースター/システムオプティマイザーソフトウェアのようなサウンドについて説明しています。ソフトウェアの唯一の目的は、「完全」版を購入して、存在しない問題、またはそれが引き起こした問題を乗り越えることです。彼らは側に広告を追加するかもしれません、それ故にグーグル検索流用...等。

それはばかげたマルウェアではありません。それはお金を稼ぐためにありますが、個々のシステムには大きな利益はありませんが、最大数のコンピューターへの大規模な展開は通常、優れた利益をもたらします。オペレーターは購入したキットを使用しているだけでなく、最初はそのような目的で複雑なキットを使用しても意味がありません。

0
Mike Winsborough