用語集
A
Aliases(エイリアス)
アンチウイルスベンダーは通常、それぞれ独自の命名傾向に乗っ取って同じウイルスに異なる名前を付けます。大抵の場合、どの会社でもウイルスの主要な名前(例:Klez、Badtrans、Nimda)は同じです。異なるのは主にウイルス名のプレフィックスとサフィックスで、それぞれの会社によってその使い方の傾向が違うからです。例えば、Doctor Webでは同じウイルスのバージョンには1から始まる番号が付けられ、一方Symantecではラテンアルファベットの大文字を同じように使っています。
Anti-antivirus Virus(アンチアンチ ウイルス)
アンチウイルスプログラムを狙ったコンピューターウイルスプログラムです。
Anti-virus Virus(アンチウイルス ウイルス)
他のコンピューターウイルスを狙ったコンピューターウイルスプログラムです。
Anti-virus program(アンチウイルス プログラム)
コンピューターウイルスに感染したファイルを検索、診断(その過程で感染したファイル、及びウイルスの種類を検出)、防御、修復(ウイルスを削除し、損傷したファイルを復元)するコンピュータープログラムです。
Anti-virus scanner(アンチウイルス スキャナー)
感染したファイル内のウイルスコードをウイルスコード構造の推測によって検出するコンピュータープログラムです。スキャナーは、ウイルスシグネチャを検出するために特定のオブジェクト(ディスク、フォルダ、ファイル、メインメモリ、ブートセクター)を適宜(例えば、ユーザーの要求に応じて)検査します。
Archive file(アーカイブ ファイル)
アーカイバによって圧縮されたファイル。
B
Back-door(バックドア)
システムに侵入し、管理権限が必要な機能を利用することが出来るコンピュータープログラム。バックドアはファイルを感染させることはありませんが、レジストリキーを変更し、システムのセキュリティを低下させる目的で使用されます。
Background(バックグラウンド)
システムがユーザーに気づかれずに実行するタスク。このようなタスクの優先度は低くなっています。悪意のあるプログラムの中にはバックグラウンドで動作し、ユーザーの見えないところで処理を実行するものがあります。
Batch file(バッチ ファイル)
OSの命令を含んだ実行ファイルで、通常.bat拡張子を持ちます。テキストファイルに記述され、それぞれのラインがOSの命令です。コマンドプロセッサによって実行されます。
Boot virus size(ブート ウイルス サイズ)
ブートウイルスヘッドサイズとは、ディスクのブートセクターやMBRに置かれたウイルスのボディの長さです。ブートウイルステールサイズとは、ディスクやハードディスクの空のスペースに置かれたウイルスのボディの長さです(このようなセクターはエラーセクターとされます)。
Bug(バグ)
構文上、又は意味上のプログラムエラー。
C
Clean diskette(クリーン ディスク)
ウイルスを含んでいないと分かっている、書き込み保護された起動用フロッピー・ディスク。
Computer virus(コンピューター ウイルス)
ひとたびコンピューターに侵入すると、ユーザーの意志に関係なくコンピューター上であらゆるアクション(オブジェクトを作成または削除、データファイルやプログラムファイルを変更、インターネットやローカルエリアネットワークに自分自身を拡散する目的を持ったアクション)を実行する、プログラムコードのプログラムまたはフラグメントです。ディスクのプログラムファイル、データファイル、ブートセクターをウイルスコードの運び屋に変えてしまい、上記のアクションを実行するような変更を感染と呼び、コンピューターウイルスの最も重要な機能です。感染させるオブジェクトの種類によってウイルスの種類も異なります。
D
Daemon(デーモン)
ユーザーの要求無しに、バックがラウンドでサービス機能を実行するプログラム。
Damage(ダメージ)
コンピューターウイルスの攻撃を受けると以下の悪意のある動作を実行します。
- システムの動作中にいくつかの機能の実行を拒否。エラー、及び不具合、再起動直後にシステムがハングアップ。
- プログラムが決定していない動作を実行。
- ファイルやディスクを破壊(ディスクをフォーマット、ファイルを削除)。
- コンピューター画面に偽のメッセージを表示。
- 音声や画像の効果を作成(降ってくる文字、メロディーが鳴る等)。
- システムリソースへのアクセスを拒否。
最も危険なのはハードディスクやディスクの損傷ではなく、データファイルに対するほんの少しの目に見えない変更であるという点に注意する必要があります。
Date and time added to Dr.Web virus database(Dr.Web ウイルスデータベースに加えられた日時)
該当するウイルスの定義や駆除方法(削除、修復など)を含んだアドオンがDr.Webウイルスデータベースに追加された日時です。ウイルスがデータベースに加えられた時からアンチウイルスプログラムはそのウイルスを検出できるようになり、駆除することが可能になります。
ただし、ウイルスデータベースのアドオンに含まれていないウイルスはアンチウイルスプログラムによって検出されないというわけではありません。新しく出現したウイルスがヒューリスティックスキャンによって検出されることが度々あります。
Destructiveness(破壊型)
OSの正常な機能の損傷や完全なクラッシュ、ウイルスがその姿を現し、そのアルゴリズムが動作するような状態を狙ったウイルスの手法、及びその悪意のある動作でユーザーには視覚的に見せないこともあります。
Dropper(ドロッパー)
ウイルスをシステム内に侵入させる為にファイルを運びます。このテクニックは、アンチウイルスプログラムからウイルスを「隠す」為にしばしばウイルス作成者に使われます。
E
Encrypted virus(暗号化 ウイルス)
ファイル、メモリ、あるいはセクター内で逆アセンブル、及び検出されるのを妨げるために自分自身を暗号化するウイルスです。このようなウイルスのコピーは、それぞれ共通の短いコードフラグメントのみを含んでいます。フラグメントのデコードプロセスはシグネチャとして扱われます。このウイルスは、感染させる度に毎回異なる形で自動的に自分自身を暗号化します。こうしてアンチウイルスプログラムによる検出を逃れようとするのです。
Executable file(実行 ファイル)
OSが実行できるファイル。例えば、MS DOSでは、実行ファイルは.exe、.com、及び.bat拡張子を持っています。
.exe、及び.com拡張子を持ったファイルはプログラムです。
.bat拡張子を持ったファイルはプログラムです。
F
File Allocation Table(ファイル アロケーション テーブル)
クラスタという単位でハードドライブを動的に配置(割り当て)するためのテーブル。
File virus size(ファイル ウイルス サイズ)
ウイルスに感染した全てのファイル内に存在するウイルスの、バイトでの実際のサイズ。
G
Guard(ガード)
ウイルスに感染する可能性のあるOSのセクションをコントロールするメモリ常駐型プログラムで、ウイルスが侵入した瞬間にアクティブになります。ガードはファイルを感染させようとするウイルスを検出、ブロックします。それと同時に、ウイルスに感染している可能性があり、疑わしいアクションを実行しようとしているプログラムも検出します。Anti-virus SpIDerGuardはDr.Web anti-virus scannerと一緒に動作し、ウイルスデータベースのパッケージ全体、及びスキャンアルゴリズムを使用して疑わしいプログラムを検査します。さらに、感染したファイルは直ちに修復されます。
H
Heuristic(ヒューリスティック)
アンチウイルスプログラムコンポーネントで、新しい未知のウイルスを検出します。ファイルとブートセクターの両方をヒューリスティック分析します。その際に、検査するオブジェクトの実行コードが検証され、ウイルスに特徴的な動作が見られないか検出を試みます。
疑わしいコードが発見された場合、未知のウイルスによる感染の可能性、及びそのコードが属すると思われるカテゴリーを知らせるメッセージがユーザーに対して表示されます。Dr.Webはヒューリスティックによって以下のカテゴリーの疑わしいオブジェクトを検出します。
COM、EXE、WIN.EXE、TSR、MACRO、BOOT、CRYPT、SCRIPT、BATCH、IRC、WORM
前述のメッセージが表示された場合は、「疑わしいファイルをDoctor Webに提供する」まで検体を提出してください。
Hidden file(隠しファイル)
セキュリティポリシーによって、フォルダファイルのリストに表示されず、特別な印が付けられたファイル。
Hoax(デマウイルス)
ウイルスではないメールのメッセージです。デマは大げさであいまいに書かれ、新しく広がっているウイルスに関するメールとしてユーザーのコンピューターに送られてきます。大抵のデマは次の特徴を一つないし複数持っています。メッセージ内に書かれたウイルスの名前は、多くのアンチウイルスベンダーが使う典型的なそれを考慮していません。ただ、現在のところその「ウイルス」はアンチウイルスプログラムで検出されません、とだけ述べられています。ユーザーはWindowsの「ファイルとプログラムの検索」を使って特定のファイルを見つけ、それをディスクから削除するように勧められます。メールのメッセージ内には、ファイルが見つかった場合には友人やアドレス帳に登録されている人達に知らせるよう書かれています。そのようなデマは害が無いにも関わらず、その危険性は明らかです。意味のないメッセージのコピーを大量にメールすることによってメールトラフィックを増大させ、ユーザーの時間を浪費します。デマウイルスには以下のような特徴があります。
- 記載されているウイルスの名前が、アンチウイルス会社の一般的な命名規則に沿っていない。
- Windowsフォルダ内のあるファイルを探して削除するよう指示される。
- アドレス帳に載っている全ての人物にそのメールを転送するように指示される。
このようなメール自体は無害ですが、メールトラフィックの負荷を増大させ、ユーザーの時間を浪費させます。
Dr.Web database hot adds-on(Dr.Web データベースの最新アドオン)
毎日、または1日に何回もリリースされます。
Hyper Text Markup Language(ハイパー テキスト マークアップ 言語)
ドキュメントを記述する為にワールドワイドウェブ上で使われるハイパーテキストマークアップ言語。ハイパーメディアドキュメントの構成に必要な主な機能(テキストフォーマット、画像、ビデオ、サウンド、ハイパーリンク、WWW内のデータ検索)を持っています。
I
J
JavaApplet(Java アプレット)
HTMLページに組み込まれたアプリケーション、小さなJavaプログラムです。それ自体は悪意のあるプログラムではありませんが、悪意のある目的に使用される事があります。Javaアプレットを利用したオンラインゲーム等は、特に危険です。スパイウェアと同様、アプレットはコンピューター上で収集した情報を第三者に送信することが出来ます。
JavaScript(Java スクリプト)
ネットスケープ・コミュニケーションズ社が開発したスクリプトプログラミング言語で、Javaプログラミング言語と互換性があります。スクリプトを埋め込んだWebページの作成に使われます。
K
L
LOLBINs/LOLScripts/LOLLibs
LOLBINs/LOLScripts/LOLLibs (Living Off The Land Binaries/Scripts/Libraries) は、悪意のあるペイロードを備えていない正規の実行ファイル、スクリプトおよびライブラリのリストであり、攻撃対象となるシステムにおいては標準的に存在しますが、悪意のある動作を実行するために犯罪者に悪用される可能性があります。
Logic bomb(ロジック ボム)
トロイの木馬の一種で、少し前に開発され広く使用されているプログラム内に埋め込まれた、隠されたプログラムモジュール。このようなモジュールは、一定の条件(例えばファイルにある変更が加えられた時や特定の日時になった時)が満たされて動作を開始するまでは無害です。ロジックボムは一種のコンピューターサボタージュとして使用される事があります。
M
Malware (マルウェア)
マルウェア(悪意のあるプログラム、英語malicious software)は、ユーザーの許可を得ずにデバイスやコンピュータにインストールされ、悪意のあるアクションまたはマニュアルに記載されていないアクションを実行するソフトウェアです。
Mail bomb(メール ボム)
ユーザーのコンピューターに送信される、大容量のメールや何千通にも及ぶ大量のメールで、これによりシステムがクラッシュする場合があります。
Memory resident virus(メモリ常駐型ウイルス)
メモリ内に常駐し、通常、アセンブラかC言語によって記述されたウイルスです。このウイルスはプログラムを感染させ、より効果的にアンチウイルスプログラム内に常駐することが出来ます。メモリスペースは少ししかとりません。このようなウイルスはコンピューターをアンロード、リブート、あるいはシャットダウンするまでそのタスクを続行し続けます。それらは、ウイルス作成者によって設定された、例えば、コンピューターが特定の状態になった時(タイマアクチュエーターなど)にアクティブになりアクションを実行します。ブートウイルスは全て常駐型です。
MtE virus(ミューテーション型ウイルス)
多形性ウイルスのジェネレーターMtE(ミューテーション(多形態化)エンジン)によって作成されたポリモーフィック型ウイルスです。このジェネレーターはエンコード/デコードの機能を司る特別なアルゴリズム、及びデコーダージェネレーションです。どのウイルスのオブジェクトコードにも添付することができます。デコーダーは固定ビットを持たず、その長さはいつも異なります。
N
O
P
Patch(パッチ)
不具合の修正などを行う為に、完成したプログラムのコードに製作者によって追加された命令群で、別々のユニットまたはファイルとして必要な場所に適用されます。プログラムの新しいバージョンがリリースされる前に現在のバージョンに新しい機能を追加する目的で使用される事もあります。
Plug-in(プラグイン)
メインのプログラムに機能を追加する補助的なプログラム。アプリケーションと一緒にダウンロードすることができ、それぞれのメニュー上でオプションとして表示されます(例えばWindows向けWordでの英語からの翻訳プログラムなど)。
Polymorphism(ポリモーフィズム)
ウイルスが自身のコードを変更し、一定のバイトの配列を持たないようにする為に使うテクノロジーです。
Polymorphic virus(ポリモーフィック型ウイルス)
あるいは自身で改変したデコーダー(N.N.Bezrukovによる)を持つウイルス-暗号化処理に加え、それ自身を新しいウイルスのコピーに変化させる特殊なデコードを使うウイルスです。これによってウイルスのシグネチャバイトが無くなります。ウイルスのコピーはそれぞれ独自のデコーダーを持っています。
Port(ポート)
データを入出力するためのCPU、又はコンピューターメインメモリのインターフェース。
Protocol(プロトコル)
デバイス、プログラム、及びデータプロセスシステムのインタラクションアルゴリズムを定義するルール。
Protocol POP(Post Office Protocol(ポスト オフィス プロトコル))
メールプロトコル。ワークステーションからサーバーのメールボックスにアクセスするインターネットプロトコルです。
Protocol SMTP(Simple Mail Transfer Protocol(シンプル メール トランスファー プロトコル))
簡易メール転送プロトコル。サーバーからワークステーションのメールボックスにアクセスするインターネットプロトコルです。
Q
R
Registry(レジストリ)
OSが全てのシステム情報、すなわちシステムコンフィギュレーション、様々なパラメータ値、インストールされているプログラムに関する情報などを保存する階層的データベース。レジストリの値はレジストリエディタウィンドウでユーザーが変更することが出来ます。
Registry key(レジストリ キー)
レジストリ内のレコード、レジストリ内に保存されている情報のユニークな識別子です。
Revisor(リバイザー)
システムの全てのパーツを基準と比較することで、感染している可能性のあるファイルを度々チェックするプログラム。リバイザーはまずファイル、及びセクターのチェックサムデータを保存し、次に基準、及び現在のチェックサムデータと合っているかを検証します。ウイルスの侵入が原因で一致しない場合、リバイザーが起動します。リバイザーは感染が起こった後にウイルスを検出することが出来、場合によってはファイルを感染前の状態に復元することも出来ます。ただし、プログラムが変更された原因がウイルスによるものか、或いは再編集されただけなのかを明らかにすることは出来ません。
S
Script(スクリプト)
通常、インタプリタ言語で書かれ、コマンドの命令を含んだプログラムであり、特別なコードです。
Script virus(スクリプト ウイルス)
Visual Basic、Basic Script、Java Script、Jscript言語によって記述されたウイルスです。大抵の場合、このようなウイルスは添付ファイル内にスクリプトファイルを持ったメールのメッセージとしてユーザーのコンピューターに侵入します。Visual BasicまたはJava Scriptで記述されたプログラムは、別々のファイルに置くこともHTMLドキュメントに組み込むこともできます。後者の場合、それらはリモートサーバーやローカルディスクからブラウザによって解釈されます。
Shareware soft(シェアウェア ソフト)
無料で試用できるコンピューターソフトウェア。試用期間終了後、ユーザーがこのソフトウェアの継続使用を望まない場合、コンピューター上から削除しなくてはなりません。代金を支払わずに無断で使用することは著作権の侵害と見なされます。
Stealth virus(ステルス ウイルス)
感染させたオブジェクト内で自身の存在を隠すために、正常な活動を装う機能を持ったウイルスプログラム。いわゆる「ステルス」テクノロジーによって以下のことを困難にします。
- オペレーティングメモリ内のウイルス検出
- ウイルスのトレース、及び逆アセンブル
- 感染したプログラム、又はブートセクター内のウイルス検出
System file(システム ファイル)
OSのモジュールの1つや、システムが使用するデータを含んだファイル。
T
Target file formats(ターゲット ファイル フォーマット)
よくウイルスに狙われるファイルのフォーマットです。
- .bat - バッチファイルフォーマット
- .bin - バイナリファイルフォーマット
- .com - コマンドファイルフォーマット、実行ファイルの一種、64Kbまで
- .dll - ダイナミックリンクライブラリファイルフォーマット
- .elf - Linux/UNIXの実行ファイルフォーマット
- .exe - 実行ファイルフォーマット
- .ini - 設定ファイルフォーマット
- .sys - システムファイルフォーマット
Time bomb(タイム ボム)
ロジックボムの一種で、特定の時間が来ると隠されていたモジュールが動作を開始します。
Trojan Horse(トロイの木馬)
ユーザーの許可していない動作をコンピューター上で実行する隠れたモジュールを含んだウイルスプログラム。それらの動作は必ずしも破壊的ではありませんが、システムに大きな損害を与えます。
トロイの木馬は、頻繁に使われるプログラムを置き換え、その機能を実行、又は模倣し、様々な悪意のある動作(ファイル、フォルダ、フォーマットディスクを削除、ユーザーのコンピューターからパスワードやその他の秘密情報を送信)を実行します。
トロイの木馬は、BBSの出現によって広く拡散しました。その中には、インターネット経由で自身のコンポーネントをアップデート出来る機能を持つものもあります。
Types of virus(ウイルスの種類)
感染するオブジェクトの種類によって、全てのコンピューターウイルスは以下の種類に分類出来ます。
- File virus(ファイル ウイルス)
.EXE、.COM、.DLL、.SYS拡張子を持つことの多いバイナリファイル(通常、実行ファイル、又はダイナミックリンクライブラリファイル)に感染するウイルスで、.DRV、.BIN、.OVL、及び.OVY拡張子を持ったファイルに感染することもあります。
- Boot virus(ブート ウイルス)
ディスクのブートレコード、ハードドライブセクション、及びハードドライブMBR(マスターブートレコード)に感染するウイルス。
- Macro virus(マクロ ウイルス)
Microsoft Officeアプリケーション、又はマクロコマンド(通常、Visual Basic言語で書かれた)を含んだその他のプログラムによるドキュメントファイルに感染するウイルス。
このようなウイルスが拡散している大きな要因には、Microsoft Officeコンポーネントはプログラミング言語によって書かれたビルトインプログラム(マクロ)を含むことが出来、Microsoft Wordではドキュメントを開いたり、閉じたり、保存、又は作成する際にそれらのマクロが自動的に起動するという事があげられます。
さらに、ドキュメントを開くとマクロが自動的に起動する、いわゆるグローバルテンプレートNORMAL.DOTがあります。キーを1つ押すだけで、1つのドキュメントから別のドキュメントへのマクロのコピーを実行できるMicrosoft Wordの環境は、W97M.Thusのようなマクロウイルスにとって好都合なのです。
U
V
Variant(亜種)
同じウイルスの改変されたものです。ウイルスコードはウイルス作成者と第三者のどちらによっても改変されます。
VBScript(VB スクリプト)
Microsoft社によって開発されたスクリプト言語。Visual Basic言語の1つで、Webページに埋め込まれるスクリプトを作成します。MS Internet Explorerブラウザでサポートされています。
Virus companion(コンパニオン ウイルス)
ファイルウイルスで、exeファイルは感染させません。このようなウイルスは、同じ名前で異なる拡張子を持ったプログラムファイルが異なる優先度で動作出来るようにするDOSシステムの機能を利用しています。優先度は、コンピューターシステムによってそれらが実行される順番を定義するタスク、プログラム、オペレーションに割り当てられます。このウイルスのほとんどは、同じ名前の.EXEファイルに比べて高い優先度を持つ.COMファイルを作成します。ファイルが名前によって(拡張子を指定せずに)動作する場合、.СОМファイルが実行されます。これらのウイルスは常駐型でクローンファイルを隠します。
Viral code、Signature(ウイルスコード、シグネチャ)
データとしての情報を提供するために使われるシンボルのセット、及びそれらの解釈の一義的なルールです。これは特定のウイルスに独特のもので、したがってそのウイルス、及びそのウイルスのそれぞれのコピー内でのみ検出されるシンボルのセット、及び一連のバイトです。アンチウイルススキャナーはウイルス検出にシグネチャを使用しますが、ポリモーフィック型ウイルスはシグネチャを持ちません。
Virus database of Dr.Web(Dr.Web ウイルスデータベース)
アンチウイルスプログラムに知られているウイルスコード(シグネチャ)に関する情報が含まれています。ウイルスによってダメージを受けたオブジェクトを修復する為に必要なデータも保存されています。
アンチウイルスで最も重要なことは?それはウイルスからの保護です。この保護はウイルス検出を可能にするためのベースへのウイルスエントリ(シグネチャ)の追加によって、他の機能の中でもとりわけ、保障されています。しかしながら、ベースに含まれるエントリの数では、アンチウイルスプログラムのウイルス検出能力については何も分かりません。
それぞれのアンチウイルスプログラムのウイルスデータベースは独自の構造を持っています。全てのウイルスが独特なわけではなく、関連のある(同じような)ウイルスのファミリーがあり、特殊なウイルス構文によって作成されたウイルス(ウイルス作成のプログラム)もあります。それらのウイルスは全て非常によく似ています。他のアンチウイルスプログラムの開発者達は、そのようなウイルスにそれぞれ別々のエントリで名前を付け、それによってウイルスデータベースのサイズを増大させてしまっています。Dr.Webウイルスデータベースはそれらとは異なり、1つのエントリで何十、何百、または何千もの同じようなウイルスを検出できます。他のアンチウイルスプログラムに比べて少ないウイルスエントリ数でも、既にあるウイルスをベースにして作成されたまだ知られていないウイルス(ウイルスデータベースに含まれていない)をも高い確率で検出します。
ウイルスデータベースのサイズが小さいと、ユーザーに対してどのような利点があるのかまとめてみました。
- ハードドライブ上のスペースを取りません。
- コンピューターのメインメモリリソースを節約できます。
- アップデートをダウンロードする際のインターネットトラフィックを削減します。
- ウイルスデータベースの素早いインストールとウイルス分析の処理。
- 既存のウイルスを改変して将来作成されるであろうウイルスをも検出。
Virus infected attachments formats(ウイルスに感染した添付ファイルフォーマット)
Visual Basic language(Visual Basic 言語)
Microsoft社によって開発されたハイレベルプログラミング言語です。
W
"Wild"(ワイルド)
「in-the-wild」とは、アンチウイルスラボラトリーの外でコンピューターやサイトを感染させるウイルスを意味します。著名なウイルス対策研究者、ジョー・ウェルズ氏によって作成された「In-the-Wild」ウイルスリストには、世界中で最もよく確認されているウイルスが含まれています。
Worm virus(ワーム ウイルス)
寄生型の自己増殖プログラムです。他のコンピュータープログラムに損傷を与えずに自分自身を複製することができます。ネットワークからコンピューターに侵入し(大抵の場合、これらのプログラムはメールの添付ファイルとして、またはインターネット経由で送られてきます)、ネットワーク内の他のコンピューターに自身の機能するコピーを送ります。
X
Y
Z
Zoo-virus(Zoo ウイルス)
ウイルス研究機関、あるいはウイルス研究者のコレクション内にのみ存在し、「世間一般」には存在しないウイルスです。