トロイの木馬 (ソフトウェア)
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2024/03/19 13:47 UTC 版)
感染経路
トロイの木馬は、その性質上、まずは被害者にプログラムを実行してもらう必要がある。当然、一見して危険を察知されるような怪しげなファイル名や、アイコンは(当然)回避される。そして例えば、動画の再生コーデックのインストーラ、アンチウイルスソフトウェア、メディアプレーヤーなどの名に偽装し、被害者にダウンロード及びインストールを促す。
いくつかのWindows向けのトロイの木馬は、Windowsのデフォルトである、拡張子が表示されない設定を悪用し、意図的にファイル名の末尾に.jpg、.mp3、.avi、.zip等の画像や、音声、動画、アーカイヴ形式の拡張子名を付加し、最後に.exeとしているものもある。また、通常はスクリーンセーバー用にしか用いられない拡張子.scrや、バッチ処理ファイルの拡張子.bat、さらにVBScriptの拡張子.vbsなどになっている場合もある。
対策
既知のものについてはダイジェスト等のデータベースにもとづいて発見する、未知のものについては危険なパターンの静的な発見や動的な検出による、という、他のマルウェアと一般に同様の手法で対策される。偽陰性による見逃がし、偽陽性による誤検出、などの可能性についても同様である。
既知の場合
既知という意味は、アンチウイルス会社やセキュリティーの専門家により既にそのトロイに関する詳細な情報、例えばその行動、ファイルサイズ、書かれた言語等が判明している場合である。このような場合、主要な最新状態に更新されたアンチウイルスソフトウェアによって容易に検出、削除可能な場合が多い。ただし、完全には削除出来ない場合がある。
未知の場合
トロイの木馬に限ったことではないが、悪意あるプログラムは毎日、莫大な数の新種や亜種が生み出されている。そのため専門家などに発見されるまでにはどうしても一定の分析時間が掛かる。その期間中の、未知のトロイの木馬に被害者が感染してしまった場合、その検出には詳細なコンピュータやネットワーク、使用しているOSの特徴、及びその脆弱性等に関する知識が必要とされる。また、仮に検出できたとしても、その削除には更に深い知識が要求される。そのため、一般的ユーザは、ほとんどの場合、アンチウイルスソフトの更新によってその存在を知ることになる。
ただし、一部ではあるが、未知のものであってもアンチウイルスソフトがヒューリスティックスキャン機能を持っていると、これによって「未知のトロイの木馬」などという形で検出する場合がある。
誤検出事例
- Generic.dx
- コピープロテクト関連の認証ファイルを検知するためのエンジンプログラム。Picasa 2などに同梱。
- マカフィーの「Active Protection」によってスキャンされる際、時々「トロイの木馬」として誤検出される。通常、ウイルスとして検知しない。同名のウイルスがあることが原因であり、削除してもソフトの起動には問題ない。
関連項目
- トロイの木馬 (ソフトウェア)のページへのリンク