web-dev-qa-db-ja.com

ウイルスの作成者が、感染する前にマシンが感染しているかどうかを確認する必要があるのはなぜですか?

ウイルスの三者構造を見ていましたが、ウイルスに感染する前に、コンピュータが感染していないか確認していたようです。これは、ウイルスの別のコピーをマシンに転送するのではなく、すでに存在するファイルを使用して感染させる試みでしょうか?

22
SwaroopGiwali

ほとんどのマルウェアの目標は、可能な限りアクティブであり続けることです。キーストロークの収集、DDoS攻撃への参加、検索結果のリダイレクト、スパムメールの送信、ポップアップ広告の表示などを行うことができる時間が長いほど、作成者にとって収益性が高くなります。この目標を達成するには、検出されないことが必要です。

マルウェアがマシンに2回感染すると、マシンが未定義の状態のままになるか、競合が発生する可能性があります。また、通常よりも多くのリソースを消費する可能性があります。これにより、さまざまな操作で検出される可能性があります。

  • 同じファイルを2回ロックしようとすると、クラッシュが発生します。
  • 実行中のプロセスに2回注入することで、メモリの破損とクラッシュを引き起こします。
  • 同じファイルを2回感染させると、ファイルが破損します。
  • 同じAPI、オブジェクト、システムメッセージに複数のフックをインストールしようとすると、動作が不安定になったり、未定義になったりします。
  • 複数のコピーをインストールする負担によるCPU、ネットワーク、およびディスクの使用量の増加。

使用するリソースが少なく、発生する妨害が少ないほど、ユーザーは何かが間違っていることに気づく可能性が低くなります。ユーザーは、何かが適切に機能していないことに気付いたら、それを修正しようとします。その結果、マルウェアが削除される可能性があります。そのため、マルウェアの作成者はこれらの問題を回避し、秘密にしておく方が良いでしょう。

27
Polynomial

最初のインターネットワーム は、1988年に再びインターネットを停止しました(もちろん、しばらくの間だけですが)。これは、自身を再インストールする前にその存在を適切にチェックしなかったためです。これには、作者が信じているように機能しないヒューリスティックな方法が含まれていました。すべてのコピーがネットワークを詰まらせ、マシンを詰まらせましたが、ほとんど目立ちませんでした。

ウイルスは、感染する前にその存在を確認し、同じ理由で、ホストを複数のコピーの下で溺死させないようにします。効率的に広がるために、ウイルスはそのホストをあまりにも速く殺してはなりません(ところで、同じことが生物学的ウイルスにも当てはまります)。

それにもかかわらず、微妙な点があります。感染したファイルに損害を与える単純化したウイルスがいくつかあります。その場所にあった命令に上書きします。このようなウイルスは、同じファイルを介して自分自身を書き込んだり書き換えたりすることができ、追加の悪影響はありません。ただし、元のファイルが破損しているため、正常に機能しなくなり、ウイルスが見えなくなり、ユーザーに駆除を促す場合があります。したがって、効率的なウイルスは、感染したファイル内の命令をコピーcopyして、とにかく実行されるようにします。感染したファイルは、プロセス内で必ず拡大されます。ウイルスがファイルに繰り返し感染すると、ファイルは無制限に拡大し、最終的には1988年の方法でハードディスクがいっぱいになる可能性があります。

12
Thomas Pornin

技術的な理由ではなく、ビジネス上の理由の一部です。私はかつて売り込みの詳細を述べたブログ投稿を読んでいましたが、感染したマシンへのアクセスを販売している人物(スパムの中継、クレジットカード情報の盗用、DDoSなど)がロードしないことを強く強調していました。各ボットに複数のバイナリ。

マシンの個々の感染が多いほど、ユーザーが気付く可能性が高くなり、駆除される可能性が高くなります。レーダーの下を飛ぶことはお金になります。

11
OtisBoxcar

また、他の回答に加えて、[〜#〜] i [〜#〜]がマシンに2回感染しているかどうかを確認するだけでは不十分な場合があることも付け加えておきます。

その分野であれば、マシンが他のものやMYのものに感染していないことを確認します。

インストールされているものが多いほど、マシンがクラッシュしたり、動作が遅くなったり、何かが所有者に通知したりする可能性が高くなります。

競合他社の製品を先取りして削除し、以前のバージョンの製品がないことを確認することで、システムを正常に保つことができます。先に述べたように、目標はCPUを「私のもの」に保つことです。つまり、横になって注意を引くことはありません。

7
WernerCD

マシンが遅くなり、使用できなくなる場合があります。たとえば、ウイルスが継続的に電子メールを送信すると、他のプログラムの実行が遅くなり、ネットワークが飽和状態になり、インターネットの速度が低下します。
ウイルスがファイル感染型ウイルスである場合、何度も感染することによりファイルが破損します。

1
Celeritas