• 締切済み

偽セキュリティの 開始地点

やっと Disk Antivirus Professional が動いた。 Javaを入れていなくても 動き出すことは これで確認できた。 ここで一つ気になったのは (1)ログイン時に 他の何よりも先に 偽セキュリティが開始されるのか? (2)それとも 一定時間(10秒だとか) おいてから起動されるのか? AVA soft professional Antivirus 系の 偽セキュリティ感染 経験のある人 回答おねがいします。

みんなの回答

回答No.2

>ちなみにスタートアップ登録は一切無しのものでした。 RunOnceですと一回実行したらエントリ消えます。 >知りたいのは ログイン時(デスクトップで操作できるところ)で プログラムを起動できるか 出来ないかで 大きく変わりますね。 まず、ログイン画面の表示時点ではブートシーケンスの最終段階で、ログインすると個人設定読み込んでそのユーザーのデスクトップ環境が最終的に整う形になります。 Drive by Downloadによるパターンでたまにあるのが、Memory Executionと呼ばれる方法です。ディスクアクセスなしで直接メモリ上に展開して実行してしまう。 で、要はあなたはマルウェアのアクティビティーを知りたいのでしょうけど、ある程度スキルないと無理ですよ。オンラインの動的解析サービスとかあるから利用してみたら? 自分で作業して調べたいなら、アクティビティーをトレースできるモニタリングツールとかあります。ただし、マルウェア開発側もそういったツール類が存在することを当然知ってるので、そういったモニタリングツールの稼動や仮想環境であることを察知するとすぐに動作を止めてしまうことよくあります。要はアンチ機能です。まあ、知識がないと調べるの無理だと思ったほうがいいです。

回答No.1

>やっと Disk Antivirus Professional が動いた。 >Javaを入れていなくても 動き出すことは これで確認できた。 これはあなたが実体のプログラムを仕入れてきて自分で実行したからでは? Drive by Downloadによる感染パターンでは必ずしも Javaの脆弱性を利用してくるとは限らないです。なぜなら、Remote Exec Vulnなら極端な話何でもいいので。おわかり? で、 A1: 利用されることが多いパターンでいくと、 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run以下のエントリがシステム起動時に実行されるプログラムで HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run以下のエントリがログイン後に起動されるプログラムです。 A2: マルウェアによってはDelayed Startといったこともあります。この辺はまさにそのマルウェアの仕様です。

noname#227802
質問者

お礼

しりたいのは開始地点なんですよね。 モノによって変わるだろうけど 偽セキュリティ自体 種類も多いし 全部なんて試せないですからね。 入手できるなら 全部いれて試しますけどw 知りたいのは ログイン時(デスクトップで操作できるところ)で プログラムを起動できるか 出来ないかで 大きく変わりますね。 今回いれたものは 10秒程度は 実行可でした。 (なので停止自体は 初回の再起動で すぐに止めれましたw) ちなみにスタートアップ登録は一切無しのものでした。 スタートメニュー・Msconfig・レジストリ・Service。

関連するQ&A

専門家に質問してみよう