JP2011221745A - マルウェア判定システムおよびプログラム - Google Patents
マルウェア判定システムおよびプログラム Download PDFInfo
- Publication number
- JP2011221745A JP2011221745A JP2010089521A JP2010089521A JP2011221745A JP 2011221745 A JP2011221745 A JP 2011221745A JP 2010089521 A JP2010089521 A JP 2010089521A JP 2010089521 A JP2010089521 A JP 2010089521A JP 2011221745 A JP2011221745 A JP 2011221745A
- Authority
- JP
- Japan
- Prior art keywords
- file
- executable file
- function
- execution
- malware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】ファイル実行部24は第1の実行ファイルを実行する。ファイル検出部23は、第1の実行ファイルが実行されたときに新たに生成された第2の実行ファイルを検出する。関数抽出部12は、第1の実行ファイルに含まれる関数と、第2の実行ファイルに含まれる関数とを抽出する。関数比較部13は、第1の実行ファイルから抽出された関数と、第2の実行ファイルから抽出された関数とを比較し、比較結果に基づいて第1の実行ファイルがマルウェアであるか否かを判定する。
【選択図】図1
Description
図3は、正規のインストーラとマルウェアの実行時の動作を示している。正規のインストーラの実行ファイル300が実行されると、正規のアプリケーションの実行ファイル310が生成され、システムフォルダに格納される。インストーラとアプリケーションの機能が異なるため、インストーラの実行ファイル300が有する関数セット(B)と、アプリケーションの実行ファイル310が有する関数セット(A)は、全く異なったものとなる。
マルウェアの中には、コンピュータに予めインストールされている実行ファイルに自身の関数セットを追加することで感染するタイプのものがある。図5は、このタイプのマルウェアの実行時の動作を示している。マルウェアの実行ファイル500が実行されると、アプリケーションの実行ファイル510に実行ファイル500の関数セットが追加される。したがって、判定対象の実行ファイルから抽出された関数セットと、判定対象の実行ファイルを実行することによって更新された実行ファイルから抽出された関数セットとを比較することによって、マルウェアの判定を行うことができる。
図3に示したマルウェアは自身の実行ファイルをシステムフォルダにコピーする。このため、システムフォルダにコピーされた実行ファイルをシステムフォルダから取り出して別のフォルダに格納し、システムフォルダの状態を元に戻した後、取り出した実行ファイルを実行すると、再度実行ファイルがシステムフォルダにコピーされる。
図5に示したマルウェアは、コンピュータに予めインストールされている実行ファイルに自身の関数セットを追加する。関数セットが追加された実行ファイルをシステムフォルダから取り出して別のフォルダに格納し、システムフォルダの状態を元に戻した後、取り出した実行ファイルを実行すると、再度システムフォルダ内の実行ファイルに関数セットが追加される。
上記では、管理装置1とファイル実行装置2の2台のコンピュータが連携してマルウェアの判定を行っているが、1台のコンピュータでマルウェアの判定を行ってもよい。図11は、この場合の構成を示している。図11に示すファイル実行装置3は、関数抽出部12、関数比較部13、制御部20、通信部21、記憶部22、ファイル検出部23、ファイル実行部24、ハッシュ値算出部25、およびシステム復元部26を有する。図11において、図1と同一の構成には同一の符号が付与されている。ファイル実行装置3は、第1〜第3の動作例で示した動作と同様の動作を行うことによって、マルウェアの判定を行う。ただし、2台の装置間の通信に係る処理は除く。
Claims (5)
- 第1の実行ファイルを実行する実行手段と、
前記第1の実行ファイルが実行されたときに新たに生成された第2の実行ファイルを検出する検出手段と、
前記第1の実行ファイルに含まれる関数と、前記第2の実行ファイルに含まれる関数とを抽出する抽出手段と、
前記第1の実行ファイルから抽出された関数と、前記第2の実行ファイルから抽出された関数とを比較し、比較結果に基づいて前記第1の実行ファイルがマルウェアであるか否かを判定する判定手段と、
を備えたことを特徴とするマルウェア判定システム。 - 第1の実行ファイルを実行する実行手段と、
前記第1の実行ファイルが実行されたときに、前記第1の実行ファイルと異なる第2の実行ファイルの更新を検出する検出手段と、
前記第1の実行ファイルに含まれる関数と、前記第1の実行ファイルの実行後に更新された前記第2の実行ファイルに含まれる関数とを抽出する抽出手段と、
前記第1の実行ファイルから抽出された関数と、前記第2の実行ファイルから抽出された関数とを比較し、比較結果に基づいて前記第1の実行ファイルがマルウェアであるか否かを判定する判定手段と、
を備えたことを特徴とするマルウェア判定システム。 - 第1の実行ファイルと、前記第1の実行ファイルを実行したときに新たに生成された第2の実行ファイルとを実行する実行手段と、
前記第1の実行ファイルが実行されたときに新たに生成された前記第2の実行ファイルと、前記第2の実行ファイルが実行されたときに新たに生成された第3の実行ファイルとを検出する検出手段と、
前記第1の実行ファイルに含まれる関数と前記第3の実行ファイルに含まれる関数とを抽出する抽出手段と、
前記第1の実行ファイルから抽出された関数と前記第3の実行ファイルから抽出された関数とを比較し、比較結果に基づいて前記第1の実行ファイルがマルウェアであるか否かを判定する判定手段と、
を備えたことを特徴とするマルウェア判定システム。 - 第1の実行ファイルと、前記第1の実行ファイルを実行したときに更新された第2の実行ファイルとを実行する実行手段と、
前記第1の実行ファイルが実行されたときに前記第2の実行ファイルの更新を検出し、前記第2の実行ファイルが実行されたときに第3の実行ファイルの更新を検出する検出手段と、
前記第1の実行ファイルに含まれる関数と、前記第2の実行ファイルの実行後に更新された前記第3の実行ファイルに含まれる関数とを抽出する抽出手段と、
前記第1の実行ファイルから抽出された関数と、前記第3の実行ファイルから抽出された関数とを比較し、比較結果に基づいて前記第1の実行ファイルがマルウェアであるか否かを判定する判定手段と、
を備えたことを特徴とするマルウェア判定システム。 - 請求項1〜請求項4のいずれかに記載のマルウェア判定システムとしてコンピュータを機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010089521A JP5540316B2 (ja) | 2010-04-08 | 2010-04-08 | マルウェア判定システムおよびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010089521A JP5540316B2 (ja) | 2010-04-08 | 2010-04-08 | マルウェア判定システムおよびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011221745A true JP2011221745A (ja) | 2011-11-04 |
JP5540316B2 JP5540316B2 (ja) | 2014-07-02 |
Family
ID=45038666
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010089521A Expired - Fee Related JP5540316B2 (ja) | 2010-04-08 | 2010-04-08 | マルウェア判定システムおよびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5540316B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015500538A (ja) * | 2012-09-03 | 2015-01-05 | テンセント テクノロジー (シェンチェン) カンパニー リミテッド | ファイルをアップロードする方法及び装置 |
JP2016115072A (ja) * | 2014-12-12 | 2016-06-23 | Necフィールディング株式会社 | 被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003330736A (ja) * | 2002-05-08 | 2003-11-21 | Nippon Telegr & Teleph Corp <Ntt> | 不正リソース利用防止システム及びその方法並びにプログラム |
JP2005148814A (ja) * | 2003-11-11 | 2005-06-09 | Business Eggs:Kk | ファイルアクセス監視装置、方法、プログラムおよび記録媒体 |
US20070240221A1 (en) * | 2006-04-06 | 2007-10-11 | George Tuvell | Non-Signature Malware Detection System and Method for Mobile Platforms |
JP2010009269A (ja) * | 2008-06-26 | 2010-01-14 | Iwate Univ | コンピュータウィルス検出装置、コンピュータウィルス検出方法及びコンピュータウィルス検出プログラム |
-
2010
- 2010-04-08 JP JP2010089521A patent/JP5540316B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003330736A (ja) * | 2002-05-08 | 2003-11-21 | Nippon Telegr & Teleph Corp <Ntt> | 不正リソース利用防止システム及びその方法並びにプログラム |
JP2005148814A (ja) * | 2003-11-11 | 2005-06-09 | Business Eggs:Kk | ファイルアクセス監視装置、方法、プログラムおよび記録媒体 |
US20070240221A1 (en) * | 2006-04-06 | 2007-10-11 | George Tuvell | Non-Signature Malware Detection System and Method for Mobile Platforms |
JP2010009269A (ja) * | 2008-06-26 | 2010-01-14 | Iwate Univ | コンピュータウィルス検出装置、コンピュータウィルス検出方法及びコンピュータウィルス検出プログラム |
Non-Patent Citations (5)
Title |
---|
CSND199700224021; 斎藤 義憲: 'ウイルス百科事典 Vol. 2 マクロウイルスの脅威とその衝撃' The BASIC Vol. 167, 199705, pp. 132-136 * |
CSND200900613004; 川添 貴生: 'PC自作超入門講座 -2nd Stage- 自作力を刺激する使いこなし研究室' DOS/V POWER REPORT Vol. 19, No. 10, pp. 162-163 * |
JPN6014001545; 川添 貴生: 'PC自作超入門講座 -2nd Stage- 自作力を刺激する使いこなし研究室' DOS/V POWER REPORT Vol. 19, No. 10, pp. 162-163 * |
JPN6014001546; 斎藤 義憲: 'ウイルス百科事典 Vol. 2 マクロウイルスの脅威とその衝撃' The BASIC Vol. 167, 199705, pp. 132-136 * |
JPN6014013402; 名坂 康平ほか: '自動実行登録に基づくマルウェアの分類に関する検討' 情報処理学会研究報告 Vol. 2010-CSEC-50, No. 40, 20100624, pp. 1-5 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015500538A (ja) * | 2012-09-03 | 2015-01-05 | テンセント テクノロジー (シェンチェン) カンパニー リミテッド | ファイルをアップロードする方法及び装置 |
JP2016115072A (ja) * | 2014-12-12 | 2016-06-23 | Necフィールディング株式会社 | 被疑ファイル収集装置、マルウェア検知システム、および、マルウェア検知方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5540316B2 (ja) | 2014-07-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7084778B2 (ja) | 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法 | |
RU2531861C1 (ru) | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса | |
US7571482B2 (en) | Automated rootkit detector | |
CN109214170B (zh) | 经由辅助文件分析进行恶意软件标识 | |
JP5011436B2 (ja) | コンピュータプログラムの悪意ある行為を見つける方法及び装置 | |
JP5963008B2 (ja) | コンピュータシステムの分析方法および装置 | |
US20110219449A1 (en) | Malware detection method, system and computer program product | |
EP2701092A1 (en) | Method for identifying malicious executables | |
EP2570955A1 (en) | Restoration of file damage caused by malware | |
US20120144488A1 (en) | Computer virus detection systems and methods | |
US10237285B2 (en) | Method and apparatus for detecting macro viruses | |
JP6668390B2 (ja) | マルウェアの軽減 | |
JP6238093B2 (ja) | マルウェアリスクスキャナー | |
US10726129B2 (en) | Persistence probing to detect malware | |
JP6459289B2 (ja) | マルウェア推定装置、マルウェア推定方法、及び、マルウェア推定プログラム | |
JP5540316B2 (ja) | マルウェア判定システムおよびプログラム | |
WO2015081836A1 (zh) | 病毒的识别方法、设备、非易失性存储介质及设备 | |
EP2958045A1 (en) | System and method for treatment of malware using antivirus driver | |
US9723015B2 (en) | Detecting malware-related activity on a computer | |
JPWO2019049478A1 (ja) | コールスタック取得装置、コールスタック取得方法およびコールスタック取得プログラム | |
US20230138346A1 (en) | Managing file dependency management in virtual machines | |
CN113569239A (zh) | 恶意软件分析方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130308 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20130311 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130327 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131218 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140121 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140310 Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20140310 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140401 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140409 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5540316 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |