JPH10501354A

JPH10501354A - コンピュータ・ウィルス・トラップ装置

Info

Publication number: JPH10501354A
Application number: JP8501048A
Authority: JP
Inventors: シュヌラー，ジョン; クレマー，ティモシー・ジェイ
Original assignee: クワンタム・リープ・イノヴェーションズ・インコーポレーテッド
Priority date: 1994-06-01
Filing date: 1995-05-30
Publication date: 1998-02-03
Also published as: ATE183592T1; EP0769170B1; WO1995033237A1; DE69511556D1; CA2191205A1; US5842002A; EP0769170A4; EP0769170A1

Abstract

(57)【要約】コンピュータ・ウィルス・トラッピング装置（１０）は、コンピュータ・ウィルスがコンピュータ・システムへ進入してファイルや周辺機器等を台なしにする前に、該ウィルスを検出して除去するものである。該トラッピング装置（１０）は、ウィルスが感染させようとするホスト・コンピュータ・システム（２８）をシミュレートする仮想世界を創造する。該環境は、出来る限り友好的に形成され、ウィルスを欺いて目的とするシステムであるホスト（２８）に居るかの如く思わせる。この仮想世界内において、ウィルスは鼓舞されてその意図した活動を行う。本発明は、この偽装のホスト・コンピュータ・システム内で起きるいかなる破壊的挙動をも、検出することが可能である。本発明は、更に、ウィルスがホスト（２８）に搬送される前に、該ウィルスをデータ・ストリームから取り出し（５２）そして、ユーザー（３８）により以前に命令されている任意の行動を取ることが可能である。

Description

【発明の詳細な説明】コンピュータ・ウィルス・トラップ装置発明の背景今日存在するコンピュータ・ウィルスの問題は１９８０年代後半に始まっている。その当時では、ウィルスは珍しいものであり、主にＤＯＳやマッキントッシュのコンピュータが被害にあっていた。今日では、フォーチュン（Ｆｏｒｔｕｎｅ）５００社に上げられた会社の殆どがコンピュータ・ウィルスの経験をもっており、現在では、ウィルス事件の発生率は約２〜３カ月に１件の割合である。コンピュータ・ウィルスなる言葉は、一般的且つ法律的用法では、デジタル・コンピュータ環境において一定の機能を果たすソフトウェア、コード、コード・ブロック、コード要素、及びコード・セグメントに適用されている。コードは、コンピュータが応答するデジタル・インストラクションを意味している。有益な目的を果たすために被害をもたらさない、すなわち正当なソフトウェア、コード、コード・ブロック、コード要素、及びコード・セグメントは、ウィルスとは考えられない。コンピュータ・ウィルスは、データを消去及び破壊する上に、ハードウェアに物理的損害を与えるものとして知られている。まれではあるが、ディスク・ドライブ・ヘッドをコールして、実際に媒体に記憶を行うウィルスも存在しており、またモニタの走査速度を上げて故障を生じさせるウィルスが見つかっている。しかしながら、大抵のウィルスは、明らかな物理的損害を意図的に発生するものではなく、トリガされる前にデータやファイルに損害を与えるものであることが分かっている。しかしながら、ウィルスの発見後でなければ、ウィルスの検出及び排除に関連してウィルスの実際の損害が明らかとならない。これにより、平均的なコンピュータでは、１,０００台のＰＣ及び３５,０００枚のディスケットを探索する必要が生じてしまう。ソフトウェア・エンジニアがたった１例でもウィルスを見過ごした場合には、その他のコンピュータも再感染してしまい、クリーン・アップ検索を再度全面的に行わねばならなくなる。一般的に、良性ウィルスと悪性ウィルスとがあるとの意見があるが、それは間違っている。ある幾つかのウィルスは、悪意のあるトリガ・イベントを持たず、且つ、意図的な損害を与えることができないことから、あたり障りのないウィルスであるとされている。しかしながら、このような意見は、コンピュータ・ウィルスのもたらす問題が主にトリガ・イベントによるものであるという点を、見過ごしている。コンピュータ・ウィルスが複製されることは、事実である。これは、コンピュータの設置時に、ウィルスのすべての事例（インスタンス）を検索してクリーンアップする必要があることから、それ自体有害である。ウィルスによる損害は、ファイルまたはデータの消去による損害程は大きくないが、検出、除去及びそれに付随する作業者の生産性の低下を余儀なくされ、非常に大きくなる。コンピュータ・ウィルスをクリーン・アップするために平均的なコンピュータ・サイトで費やされる金額は、約２５０,０００ドル程度にもなる。コンピュータ・ウィルスは、１９９４年だけで米国のコンピュータ・ユーザーに１０億ドル以上を支出させることになる。コンピュータ・ウィルスの問題は、情報スーパー・ハイウェイの出現により級数的に大きくなる。個人、会社及び政府間の連結性が増大することで、コンピュータ・ウィルスが大混乱を巻き起こす可能性が大きくなっている。金融、電気通信、ラジオ、情報データベース、ライブラリ、及びクレジット等における、今日当たり前と考えられる様々なコンピュータ機能を果す、現在において分離されているコンピュータシステムは、将来一体になる可能性がある。従って、未チェックのコンピュータ・ウィルスが、我々の社会の手足をもぎ取る可能性も出てきている。ウィルスは、システムに入り込んで活動する位置を見つけた時にのみ、問題を発生させる。一般的には、ウィルスは、意図した機能、すなわちユーザーまたはオペレータが意図、期待、補償または別段保護をしなかった機能を、実行するものである。悪意に満ちたウィルス行動の幾つかの例として、ファイルの名前を変えてユーザーの該ファイルへのアクセスを難しくすること、ファイルを新たな位置へ移動すること、ファイルの消去、作動プログラムへの干渉（即ち、スクリーン上の全てのワードをスクリーン底部に落とすこと）、ウィルス自体を複製してシステムを目詰まりさせ該システムを機能させなくすること、もしくは所定の時間またはブーツ、アクセス、カーソル移動、マウス・クリック等の、所定の数のトグル操作を終えるまで待たないと一定の行動ができないようにすること、等が挙げられる。もっと重罪的なタイプのウィルスは、妨害行為、諜報活動、金銭的利得または競合する事業体に損害を与えることを目的として、システムを破壊または損傷させるために放たれたものである。例としては、諜報活動等の目的で非許可ユーザーがアクセスするのを可能にするトラップ・ドアの創造、ファイルのダンピングまたは消去、システム内へのルートを見いだすナビゲーション・プログラム、パスワード潰しプログラム、適正なプログラムの実行可能なセグメントを変更すること、及び自身を一定のコード・ブロックに取り付けて別のサイトへ移動することが含まれる。ウィルスに感染し易い従来のＰＣやネットワークに加えて、産業上のプロセス制御設定に使用される埋込制御システムもまた、ウィルスに感染し易い。これらのシステムは、機械装置、モーター、産業ロボット、及びセンサからのプロセス・データを制御する。埋込制御システムは、ＰＣと同様にウィルスに感染し易いことから、感染すると潜在的には相当の損害を被ることになる。工場または組立ラインの円滑な流れが、ウィルスの制御不可能な挙動により、徹底的に破壊される可能性がある。ウィルスがコンピュータシステムに作用する方法は多数考えられる。全てのコンピュータがブーツ手順をたどり、該ブーツ手順において、基本入出力システム（ＢＩＯＳ：ＢａｓｉｃＩｎｐｕｔＯｕｔｐｕｔＳｙｓｔｅｍ）及び／またはその他の常駐システム・ツールが、ドライブの検出、メモリ及びシステムのテスト、システム・ファイルの初期化、ＤＯＳまたはその他のオペレーティング・システム（ＯＳ）のローディング、及び初期スタートアップ・プログラムの立ち上げ等の、様々なスタートアップ・タスクを行う。システムは、他の機能間でのウィルス・リンク（連結）を確立する等の、所定のハウスキーピング・タスクを行う。任意の実用性を有するコンピュータ・システムは非常に複雑であるから、ウィルスを書き込もうとする者にとっては、システムに無数のトラブルを生じさせたりシステムの正常な操作を妨害したりする機会及び可能性が生じることになる。ウィルス問題に対する最も一般的な解決法は、ウィルスを走査、検出してコンピュータシステムから排除するアンチ・ウィルス・ソフトウェアを使用することである。これらのプログラムは、ハード・ディスク・ドライブまたはフロッピー・ディスク等の記憶媒体を、公知の様々なウィルス・パターンについて検索することにより、作動する。しかしながら、このウィルス除去方法に関係して多数の問題が生じてしまう。アンチ・ウィルス・ソフトウェアは、反復ストリング・サーチにより検出できる認識可能なパターンを有する公知のウィルスについてのみ、走査することが可能である。新たなウィルスに対抗して保護を行うためには、しばしばグレード・アップを行わなければならない。更に、プログラムによりウィルスを検出するためには、ウィルスがその時点でコンピュータを汚染していなければ検出できない。したがって、その時点では、ウィルスにより何らかの損害が生じているか、またはウィルスが既に複製を済ませて検出される前に拡散してしまっていることもある。また、特に、プログラムやデータがディスケットを介して頻繁にコンピュータ間で伝達されるシステムでは、ウィルスに対する効果的な保護を行うためには、アンチ・ウィルス・プログラムを度々実行することが必要となる。また、現在のアンチ・ウィルス・ソフトウェアを用いた解決策には、別の障害、落とし穴及び限界が存在する。このソフトウェアは、３つのカテゴリに分類されている。即ち、スキャナ、モニタ及びＣＲＣである。前記した如く、スキャナは公知のストリングのデータベースを片付ける。これらのデータベースは、常時更新が必要である。モニタは、不審な挙動についてコンピュータを監視するメモリ常駐プログラムである。モニタは偽陽（ｆａｌｓｅｐｏｓｉｔｉｖｅ）による損害を被る確率が高く、ＰＣの汎用メモリの大部分を占める。ＣＲＣは、保護する各ファイルに２バイト数の形態をした独特の「シグネチャ（記号）」を発生するエラー・チェック・プログラムである。ＣＲＣプログラムは、該当するファイル自体または別のファイルに「シグネチャ」を配置する。ＣＲＣプログラムは、それ自体認識し易く、従って汚染されたファイル用に「シグネチャ」を再度生成することが容易である、といった問題がある。更に、スキャナ、モニタ及びＣＲＣプログラムは、当該ＰＣで実行されなければならない。これらにより、該プログラムの実行は、しばしば時間のかかる仕事となる。これらのプログラムは通常、ＰＣを完全に制御して操作する必要があり、スキャナの終了を待たないと通常の作業が開始できないことから、ユーザーは更に不便を感じることなる。もう一つの重大な問題は、アンチ・ウィルス・ソフトウェアは当該ＰＣで実行しなければならないと言うことである。このことは、操作システムを制限し且つ障害となり、知らずに汚染されたＰＣで該ソウトウェアを既に実行していると言うことにもなり兼ねない。本発明は、その論理機能をＰＣ外で実行することによる独特の方法を取り、本発明のハードウェアでは、クリーンな汚染されていないスタートが保証され、したがって、ユーザーに不便をかけることがなく、且つより効果的である。別の可能な解決法は、ウィルスがシステムに侵入できなくなるまでにコンピュータの安全保護を高めることである。ログイン／パスワード制御及び暗号化は、コンピュータ・ウィルスには効果がない。暗号化すれば、ウィルスは良好なデータと一緒に暗号化されてしまい、複製を試みる時にのみ解読されることから、ウィルスの検出及び除去が一層困難になる。このような暗号化を実施することは、非常に困難であり、またコストもかかることは明らかである。別の可能な解決法は、コンピュサーブ（Ｃｏｍｐｕｓｅｒｖｅ）、プロディジィ（Ｐｒｏｄｉｇｙ）、インターネット（Ｉｎｔｅｒｎｅｔ）及びユースネット（Ｕｓｅｎｅｔ）等の市販タイプ、並びに個人用でローカルな小型のタイプのコンピュータ掲示板を使用しないことである。しかしながら、大抵のウィルスは、情報データベースまたはコンピュータ掲示板からダウンロードされたソウトウェアまたはデータから生じるものでないから、この方法ではウィルスの拡散を防止することにはならない。市販のオンライン・サービス及び個人的な掲示板の双方のオペレータは、自身のシステムにウィルスが侵入してこないようにするために、非常に慎重となる。システムにアップロードするものはすべて、加入者に使用させる前に常に検索及び走査を行う。更に、ブーツ・トラック・タイプの大抵のコンピュータ・ウィルスは、ダウンロードされたデータやソフトウェアを介しては拡散せず、大部分のウィルスがディスケットを介して拡散する。ウィルスが、ディスケット製造業者により、故意でなく空状態のディスケットに拡散されてしまった例も知られている。どのようなディスケットがウィルスに汚染されないかに関するルールは存在しない。従って、ユーザーが知ることなく、システムに侵入する前に、ウィルスを走査、検出し、且つ除去することができ、そして、今日存在する全てのウィルスに効果的である装置が必要であると、長年考えられてきたが、未だに実現されるには至っていなかった。発明の概要ほとんど全てのウィルスに当てはまる特徴の１つは、ウィルス自身では１つのコピュータＯＳから別のＯＳへ移動できないことである。これは、今日使用されているコンピュータ・システムは、システムが異なれば内部命令または指令もまた異なるからである。１つのＯＳに完全に受け入れられ且つ了解される言語は、別な言語と相関関係を有していない。人間に例えれば、相互に通じない異なる言語を２人の人が話すようなものである。双方の言語には似た語が存在する場合もあるが、誤って解釈された又はクロス・オーバー・ストリングされた語または１組のコンピュータ命令（即ち、ウィルス）が、著しい量の情報を伝達すること、または一連の命令を効果的に実行することは、統計的にほとんどあり得ない。誤って解釈された又はクロス・オーバー・ストリングされた語または１組のコンピュータ命令が、１つの言語またはシステムから、別の言語またはシステムへ、有益な情報を伝達することまたは一連の指令を実行することは、更にあり得ない。本発明は、ウィルスのこの特性を利用して、ウィルスが逃げることのできない侵入不可能なバリアを創造する。本発明では、外部のオペレーティング・システムを使用することで、高度の安全性及び不侵入性が保証される。本発明者は、本発明が外部オペレーティング・システムを使用することなく確立することが可能であると認識しつつも、斯かる外部オペレーティング・システムを用いない場合には、信頼できる程度の安全性が確保できないと考える。更に、外部オペレーティング・システムを使用しない場合には、発明自体が汚染される危険性もある。保護されるべきコンピュータ・システムとは異なる外部オペレーティング・システムが、該保護されるべきコンピュータ・システムへデータが到達する前に、データの流れの中に挿入される。例示すると、ＤＯＳ用に書かれたプログラムがマッキントッシュのコンピュータ上で作動しない場合には、ウィルスも行動できない。外部オペレーティング・システムは、その動作を完結するためには、目標とするコンピュータ・オペレーティング・システム（ディスク・ドライバ、メモリ構造、ポート等）のエミュレーション（ｅｍｕｌａｔｉｏｎ）を提供しなければならない。そのためには、ウィルスを欺いて、該ウィルスが汚染しようとしていた目標とするコンピュータシステムに常駐していると思わせることである。ウィルスは、エミュレートされた目標のオペレーティング・システム内に存在する間、ファイルを汚染し、データを破壊して台なしにするように、鼓舞される。本発明が他の全てのウィルス検出及び防止戦略から相違している点が、この点である。他の全ての戦略は、防御的性質を備えており、ファイルをマークして不当な変更を検出し、意図しない挙動を走査してウィルスが損害を与えるのを防止している。本発明においては、ウィルスを鼓舞して汚染且つファイルを破壊するようにすることで、攻撃的な戦略を取っている。コンピュータ・ユーザーが防止すべきウィルスの最も重要な挙動は、その複製する能力である。ウィルスがファイルを消去し、ハード・ドライブが作動不能になって初めて、ウィルスが検出される。一般に、ウィルスが悪意のあると考えられることをした後で初めて、ウィルスが検出される。この時点において初めて、アンチ・ウィルス・ソフトウェア及びハードウェアが起動され実行されて、ウィルスが検出され、そしてファイルをクリーンにする。ウィルスは、悪事を働く前には複製を行うことがない。複製がなされなければ、成長して存続することができない。ウィルスが複製する能力を有していれば、ＰＣからフロッピーへ、フロッピーからＰＣへ、そしてＰＣからネットワークへと、移動可能となる。本発明がねらいとするのは、このウィルスの複製しようとする挙動である。ウィルスを鼓舞して、このクロス・プラットフォームを生じたエミュレーション内で行動するようにさせ、検出を行う。保護されるシステムが損害を受ける前に、ウィルスの任意のレベルでの検出を可能にすることが、このクロス・プラットフォーム技術であり、かつ攻撃的戦略である。本発明によりウィルスを検出できるのは、エミュレーション内であり、ウィルスを安全に保持できるのは、トランス（変換）・プラットフォーム論理／環境の使用によるものである。ウィルスがＤＯＳまたはＭＡＣスキャナ、オペレーティング・システム、またはＢＩＯＳに広まることができる場合には、外部のオペレーティング・システムに侵入して汚染することはできない。外部のオペレーティング・システムは、エミュレーション（ファイル、ＢＩＳＯ情報の偽造、偽周辺装置の創造）の監視警戒能力に基づき、そして、エミュレーション内の要素の操作能力、並びにシーア（ｓｈｅｅｒ）速度及び計算能力に関連して、選択される。本発明者は、本発明をトランス・プラットフォームなしで達成することが可能なことを認識しているものであるが、トランス・プラットフォームなしでは速度が遅くなり、且つ確実な安全性を得ることはできない。外部オペレーティング・システムの利用は、リード（鉛）壁及びガラス壁の利用、並びに研究所内で放射性物質を操作する人により使用される機械アームの利用をリンクさせることが可能である。素手で放射性物質を取り上げることも確かに可能ではあるが、これは全く推薦できるものではなく、且つ安全ではない。本発明は外部オペレーティング・システムを使用せずに達成することが可能であるが、これは推薦することができるものではなく、且つ安全でもない。本発明の主たる目的は、ウィルスを欺くことにより、該ウィルスがホスト環境内に存在すると考えさせて、破壊挙動を可能にする仮想世界を創造することで、ホスト環境を偽装することにより、最も基本的レベルでウィルスを検出して除去し、ホストに損害を与えることなく、ウィルスを破壊するウィルス検出システムを提供することである。本発明の別の目的は、メモリまたはファイルのストリング検索を行ってウィルスを検出する以外の方法を使用して、任意のレベルにおいてもウィルスの検出及びトラップを可能にするウィルス検出システムを提供することである。本発明の更に別の目的は、未知のウィルスを検出することができるウィルス検出システムであって、検出装置の状態を保持するためにソフトウェアを更新する必要性をなくしたウィルス検出システムを提供することである。本発明の更に別の目的は、ウィルスを検出する時のホスロ・コンピュータ・システムの非動作時間を最小限にすることである。本発明の更に別の目的は、ユーザーの自由裁量により、ウィルスを別の媒体に記録してウィルス分析グループへ移行されることができるようにすることである。該目的においては、ウィルスを内部分析にかけて、トラップドアまたはファイルの変更、若しくは、産業スパイまたは妨害行為コード等の公知の以前に企てられた試みと比較する。本発明の更に別の目的は、ディジボード（ｄｉｇｉｂｏａｒｄ）・チャネルであるモデム、インターネット、コンピュサーブ、ＬＡＮステーション／ユーザーリッド（Ｕｓｅｒｉｄ）、ＷＡＮライン等の、ウィルス侵入源からウィルスを記録することである。別の目的は、攻撃についてシステム管理に警告を発することである。図面の簡単な説明以下は、本発明の実施例を例示した図面である。図１は、本発明の好適な実施例の高レベル機能のブロック図である。図２は、本発明の好適な実施例の機能ブロック図である。図３は、地域ネットワーク環境における本発明の応用を示した機能ブロック図である。図４は、電気通信ネットワーク環境に本発明を応用した時の機能ブロック図である。図５は、本発明の動作段階を示した高レベルのソウフトウェア論理図である。図６Ａ〜図６Ｃは、一体として、本発明の動作段階の高レベルのフローチャートである。発明の詳細な説明本発明を完全に理解し且つその効果を理解するために、典型的な環境における本発明の好適な実施例を、以下に説明する。ウィルスが複数のオペレーティング・システムを横断できないという原理に立って、本発明では、潜在的なウィルスに対して仮想世界を創造する。保護すべきシステムをエミュレートするＯＳは、ウィルスにとって友好的で見慣れた環境を提供する。ウィルスは鼓舞されて、該ウィルス用に創造されたこの仮想世界で行動する。ウィルスが破壊行為をした結果が検出され、その結果、ウィルスに標識が立てられて除去または記憶され、更に分析される。この方法は、ほとんど全てのウィルスが本質的には実行可能であり、ユーザの誰も破壊的なウィルスを別のものに意図的に連絡しないだろうと言う仮説、及び命令が多分実行されない環境において、該実行可能な命令を識別することが可能であると言う仮説に基づいている。図１及び図２には、ウィルス・トラッピング装置１０の機能ブロック図が示されている。中央処理装置（ＣＰＵ）１２は、任意の計算装置（インテル（Ｉｎｔｅｌ）、モトローラ（Ｍｏｔｏｒｏｌａ）、パラミド（Ｐａｒａｍｉｄ）、ナショナル・セミコンダクタ（ＮａｔｉｏｎａｌＳｅｍｉｃｏｎｄｕｃｔｏｒ）またはテキサス・インストルメント（ＴｅｘａｓＩｎｓｔｒｕｍｅｎｔｓ）マイクロプロセッサ、マルチチップセットＣＰＵ、ボードレベルＣＰＵ等）で良い。トランスピュータ（Ｔｒａｎｓｐｕｔｅｒ）が特に適しており、それは、今日使用されているほとんど全てのＰＣがトランスピュータ以外のＣＰＵを使用していることからである。トランスピュータのアプリケーション及びプログラムの案内は、マーク・ホプキンス（ＭａｒｋＨｏｐｋｉｎｓ）によるＩＮＭＯＳ社が１９８９年の版権を所有するトランスピュータ・ハンドブック、及びマーク・ホプキンスによるイタリアのＩＮＭＯＳ社が１９９２年の第３版の版権を所有するトランスピュータ・データブックに掲載されている。典型的なマイクロプロセッサ・デザインとして、ＥＰＲＯＭ１４は、ＣＰＵ１２用のオペレーティング・ソフトウェアを備えている。ＲＡＭ１６は、ＣＰＵ１２に一時的な記憶機能を提供し、それによりウィルス検出ソフトウェアを実行する。リンク・アダプタ２０は、ウィルス・トラッピング装置１０と外部世界とをインターフェースするための物理的な接続をする。ウィルス・トラップ装置１０に接続されるリンク・アダプタの数は、２つに限定されるものではなく、任意の数のリンク・アダプタを用いて多数の入力データ・ストリームを処理することが可能である。該装置１０は、１以上の外部ソースからの入力データ・ストリームを読み込む。コミュニケーション・リンク２４の一例は、ローカル・エリア・ネットワーク（ＬＡＮ）（即ち、Ｎｏｖｅｌｌ）、ワイド・エリア・ネットワーク（ＷＡＮ）（即ち、ネットワークされたＬＡＮ）、電話通信ネットワーク（即ち、モデム）、無線周波数（ＲＦ）タイプセルラー・ネットワーク、またはある種のデータ記憶装置（即ち、フロッピディスク、ハードディスク、テープ、光磁気ＣＤ−ＲＯＭ等）である。コミュニケーション・リンク２４は、装置１０を動作させる入力データ・ストリームを、該装置に提供する。ディスケットは一般に、データ及びプログラムを１つのコンピュータから別のコンピュータへ伝達するのに使用され、従って、ウィルスのシステムへの一般的な侵入点となる。入出力（Ｉ／Ｏ）インターフェース１８は、ウィルス・トラッピング装置１０が保護中のコンピュータ・システム２８と連絡する手段を提供する。典型的なオペレーティング環境でのウィルス・トラッピング装置１０のアプリケーションが図３に示されている。ファイル・サーバ４２が、保護されるコンピュータ・システムである。ウィルス・トラッピング装置１０は、ファイル・サーバ４２を他のワークステーション３８に接続するデータ・ストリーム中に挿入される。ハブ４０は、ワークステーション３８をＬＡＮに接続する機能を果たし、且つ、モデム３６は、遠隔地のワークステーション３８をファイル・サーバ４２に接続する機能を果たす。このシナリオにおいては、ファイル・サーバ４２への及び該ファイル・サーバからの全てのトラヒック（データ移行）が、ウィルス・トラップ装置１０によりウィルスに関連して監視される。ウィルス・トラッピング装置１０の別のアプリケーションが図４に示されている。このシナリオにおいては、電気通信ネットワーク３４を通過するデータ・トラヒックが、ウィルスから保護される。ユーザーが遠隔地に電話ネットワーク３４に接続されたメインフレームファイルサーバ３０を有している場合がある。電話会社の中央オフィスに配置されたノード３２が、利用者のデータ・トラヒックのアクセスやクロス・コネクト機能を実行する。ネットワークを介してウィルスが拡散するのを防止するために、各ノード３２の前面にウィルス・トラッピング装置１０を配置する。モデム３６を介して電話ネットワーク３４に接続されたワークステーション３８とメインフレーム・ファイル・サーバ３０との間のデータトラヒックは、該トラヒックがウィルス・トラッピング装置１０を通過しなければならないことから、ウィルスが常時チェックされる。ウィルス・トラッピング装置１０の動作は下記の通りである。ウィルス・トラッピング装置１０は、コミュニケーション・リンク２４等の外部世界から進入して来るデータ・ストリームを監視する。全てのデータは、実際のデータ（即ち、データファイル）であろうが、命令（即ち、実行可能な）であろうが、リンク２４上を通過する際にはデータとして処理される。この点においては、実際の命令は実行されず、伝達処理されて実行される。この状態での伝達では、ＣＰＵ１２に制御されるエミュレーション手段４８が、潜在的なウィルスに友好的な環境を提供する。データはエミュレーション・ボックス（室）４８に入力され、ウィルスは、該ボックスにおいて欺かれて、あたかも実際にホスト・システムに存在するかの如く行動する。複製、別のプログラムへの攻撃、またはデータ破壊等、ウィルスが示すことのできるいずれかの破壊的挙動がエミュレーション・ボックス４８内で起きることが望ましい。この仮想世界においては、ウィルスはその環境へ完全にアクセスすることができる。ＣＰＵ１２により制御される分析／検出手段５０が、自己複製行動をしているウィルスを捕捉して、ホスト・システムを感染させるのを防止するのは、まさにこの時点である。ウィルスは、エミュレーションボックス４８が重要なファイル、キーボード、スクリーン等へのアクセスのない外部オペレーティング環境内に存在することから、該エミュレーション・ボックスから逃げることができない。実際の世界へのアクセスは、完全に遮断されている。ウィルス・トラッピング装置１０が起動すると同時に、エミュレーション・ソフトウェアがＥＰＲＯＭ１４から読み込まれて実行される。ユーザーがワークステーション３８のスイッチを入れると、ワークステーション３８とファイル・サーバ３０（または４２）との間の接続が確立される。接続セッションはＣＰＵ１２のＲＡＭ１６内に創造される。同様にして、ユーザー毎にセッションが作られる。１つのワークステーション３８のユーザーがコマンド（指令）を実行してファイルを動かすと、データが最後にはファイル・サーバ３０に書き込まれ、且つ該ファイル・サーバ３０から読み出される。ウィルス・トラッピング装置１０は、データを２つのパス（経路）に分割する。一方のパスは、修正されずに直接保護されたコンピュータシステムへ接続される。他方のパスのデータは、エミュレーション・ボックスすなわちユーザー毎に創造された仮想世界に書き込まれる。データの書き込みは、ファイル・サーバ３０、保護されるコンピュータ２８またはワークステーション３８に実行されると同様に、このボックスに書き込まれる。データ及び時間の変更は、時間感応ウィルスをトリガするようシミュレートされ、次いで実際のデータ及び時間について偽装が行われる。環境が変化すれば、チェックが行われて、単純にデータが書き込まれたか、または実行可能なコードが書き込まれたかが決定される。実行可能な命令がエミュレーション・ボックスに一旦入ると、巡回冗長検査（ＣＲＣ）が割り込み要求テーブル（ＩＲＱ）から取り出される。また、ＣＲＣは、エミュレーション・ボックス内に配置された全てのファイルに創造される。ＣＲＣは、コンピュータ及びエンジニアリング界で広く使用されているエラー検出矯正コードである。セーブされた全ての情報は、エミュレーション・ボックスの外部に記憶されて、ウィルスによる変更は不可能となる。実行可能命令の強制実行がなされる。全く何も起きない場合には、ウィルスの自己複製が存在しないと言うことである。環境の中で何か（即ち、ファイル・サイズ、エミュレーション・ボックスに他の実行可能な命令を書き込もうとする突然の試み等）が変化すると、ウィルスが存在して自己複製を試みていると決定される。第１のステップは、ＩＲＱテーブルが修正されたか否かを判定することである。第２のステップは、別のプログラムが書き込まれたか否かを判定することである。多くのプログラムには、ＩＲＱ（即ち、ネットワーク・シェル・プログラム、マウス・ドライブ、プリント・ドライブ、コミュニケーション及びファックス・ドライブ）が付加されている。しかしながら、これらのプログラムのどれも、他の実行可能な命令を書き込もうとするものではない。適正なプログラムはどれも、ファイル・アロケーション・テーブル（ＦＡＴ）またはその他の内部ＯＳディスク領域を、直接的に変更しようとはしない。適正なプログラムでは、変更（または書き込み）を標準の正しい挙動のＤＯＳ割り込み（ＩＮＴ）（即ち、ＩＮＴ２１）を通すのが典型的である。または、例えば、時々ＦＡＴに直接書き込みを行うファイル修理プログラム（即ち、ノートン・ユーティリティズ（ＮｏｒｔｏｎＵｔｉｌｉｔｉｅｓ）の場合には、適正なプログラムはＩＲＱを捕捉することはない。ウィルスの行動は、１つ以上のＩＲＱの捕捉、及びＦＡＴまたは実行可能な命令を変更しようとする試みの組み合わせによって、検出可能となる。例えば、ＩＢＭのＰＣのアーキテクチャにおいては、ＩＲＱに優先権が与えられ、且つＩＲＱが異なる専用の目的を持っている。ＩＲＱ０はシステム・クロックであり、ＩＲＱ１はキーボードである。ほとんどのプログラムは、最優先権を有したＩＲＱ０を捕捉する必要はない。ウィルスは、優先権の低いＩＲＱを有した場合に従来のアンチ・ウィルス・プログラムがより優先権の高い所に入ってウィルスの検出をし易くすることから、最高の優先権を有したＩＲＱを捕捉しなければならない。多くのウィルスがいくつかのＩＲＱを捕捉してその「シグネチャ」による検出を可能にする。更に、ウィルスを除いた大抵のプログラムは、待避命令の出入り時の実行に使用したメモリの約９５パーセント以上をＤＯＳへ返送する。従って、エミュレーション・ボックス内に創造された仮想環境において監視される、以下に説明する挙動を利用して、ウィルスを検出することが可能である。すなわち、ＩＲＱへの付加、どのＩＲＱが付加されたか、多数のＩＲＱが付加されたか否か、ＦＡＴの変更、実行可能な命令の変更、環境の変更、メモリの変更及び待避指令が発せられて、プログラムが終了すべきであったにもかかわらず終了しなかった後の何らかの終了及び常駐（ＴＳＲ）活動が、ウィルスの検出に利用される。更に、次いで別の一連のチェックを開始することができる。「ハード・ドライブ」をチェックして、以前は良好であったが「悪い」とマークをつけられているか、またはその逆の追加のセクターまたはブロックを探す。プログラムが該プログラム自体を内部クロックに付加したか、且つ、内部クロックを増分させているか？エラー・チェック・アルゴリズムの結果のいずれかのものが変更されたか？分析／検出手段５０によりウィルスを検出すると同時に、応答／警報手段５２がシステム管理者にメッセージを送るかまたはビープ音で知らせるか、ファイルまたはプログラムの送り手及び受け手に知らせるか、ファイルを削除するか、特別に準備されたフロッピー・ドライブへの書き込みを行うか、ウィルス・メッセージでページャ呼び出しをするか、またはネットワーク・セグメントをシャット・ダウンするか等の、ユーザーが規定できる任意のオプション指令を実行することができる。ウィルス・トラッピング装置１０が実行する動作ステップを示した論理フローチャートが図６Ａ〜図６Ｃに示されている。ソフトウェアの高レベルの論理図を図５に示している。入力データ・ストリームは、コミュニケーション・リンク２４により発生される。リンク・アダプタ２０は、特定のコミュニケーション・リンク（即ち、Ｘ.２５、ノヴェルＩＰＸ／ＳＰＸ，マイクロソフト・ネットＢＥＵＩ（ＮｅｔＢＥＵＩ）等）に特定したハードウェア及びソフトウェア・プロトコルから、ＣＰＵ１２に理解可能な一般的なプロトコルにデータ入力ストリームを変換する。プロトコルの変換後、データ・パケットがＣＰＵ１２が理解できる一般的なデータ・フォーマットを有したデータ・ストリームに分解される。次いで、データは、ウィルス活動の有無に関して分析処理される。この処理に次いで、データ・パケットは再構築されて、保護されるコンピュータ・システム２８へ出力される前に、Ｉ／Ｏインターフェース１８により元のハードウェア及びソフトウェア・プロトコルへ変換される。トラップ装置１０は、ホスト・システムへデータを直接転送すると同時に、該データの処理を行う。これにより、大量のデータ・ファイルをホスト・システムへ送り、ホスト・システムが該データを受信する前にトラップ装置１０でそれを処理させるのに関係した処理の遅れを低減できる。最終の書き込み指令またはファイル終了指令を除いた大量のファイルの全内容がホストへ伝達される。ウィルスが検出されなければ、書き込みまたはファイル終了指令が発せられる。ウィルスが検出されると、書き込みまたは終了指令は決して発せられず、応答／警報手段５２が適切な動作をとる。上記の好適な実施例の説明は、以下の特許請求の範囲により画定される本発明の範囲を一切限定するものでないことは明らかなことである。

Claims

【特許請求の範囲】１．コンピュータ・ウィルス・トラッピング装置において、外部のプロトコルを該トラッピング装置の理解できるデータ・フォーマットに変換するための、データ入力ソースに接続されたリンク・アダプタ手段と、前記リンク・アダプタ手段に接続され、該リンク・アダプタ手段から前記データ・ストリームを受け取るエミュレーション手段であって、保護されるコンピュータ・システムのアーキテクチャをシミュレートするための、該保護されるコンピュータから隔離された環境を提供して、コンピュータ・ウィルスにその意図する行動を行わせるようにするエミュレーション手段と、前記エミュレーション手段を監視して、前記コンピュータ・ウィルスがその意図した行動を完了したか又は実行しつつあるかを決定する検出手段とを備えたことを特徴とするコンピュータ・ウィルス・トラッピング装置。２．請求項１記載の装置において、前記エミュレーション手段が、前記保護されるシステムをシミュレートするための前記コンピュータ・ウィルス用の仮想世界を創造するように、適切にプログラムされた処理手段を備えていることを特徴とする装置。３．請求項２記載の装置において、前記処理手段が、マイクロコンピュータ回路と、一時的及び永久的データ記憶装置と、Ｉ／Ｏインターフェースとを備えていることを特徴とする装置。４．コンピュータ・ウィルス・トラッピング装置において、外部のプロトコルを該トラッピング装置の理解できるデータ・フォーマットに変換するための、データ入力ソースに接続されたリンク・アダプタ手段と、前記リンク・アダプタ手段に接続され、該リンク・アダプタ手段から前記データ・ストリームを受けとるエミュレーション手段であって、保護されるコンピュータ・システムのアーキテクチャをシミュレートするための、該保護されるコンピュータから隔離された環境を提供して、コンピュータ・ウィルスにその意図する行動を行わせるようにするエミュレーション手段と、前記エミュレーション手段を監視して、前記コンピュータ・ウィルスがその意図した行動を完了したか又は実行しつつあるかを決定する検出手段と、前記検出手段に応答して、該検出手段が前記コンピュータ・ウィルスの存在を決定したときに、予め設定されたユーザー命令に従った行動をとる応答手段とを備えていることを特徴とするコンピュータ・ウィルス・トラッピング装置。５．コンピュータ・ウィルス・トラッピング装置において、外部のプロトコルを該トラッピング装置の理解できるデータ・フォーマットに変換するための、データ入力ソースに接続されたリンク・アダプタ手段と、前記リンク・アダプタ手段に接続され、該リンク・アダプタ手段から前記データ・ストリームを受け取るエミュレーション手段であって、保護されるコンピュータ・システムのアーキテクチャをシミュレートする、該保護されるコンピュータから隔離された環境を提供して、コンピュータ・ウィルスにその意図する行動を行わせるようにするエミュレーション手段と、前記エミュレーション手段を監視して、前記コンピュータ・ウィルスがその意図した行動を完了したか又は実行しつつあるかを決定する検出手段と、前記検出手段に応答して、前記検出手段が前記コンピュータ・ウィルスの存在を検出したときに、予め設定されたユーザー命令に従った行動を実行する応答手段と、前記変換されたデータを前記外部データ・ストリームのプロトコルへ再構築して、前記データ・ストリームを前記保護されるコンピュータ・システムへ転送するＩ／Ｏバッファ手段とを備えていることを特徴とするコンピュータ・ウィルス・トラッピング装置。６．請求項５記載の装置において、前記エミュレーション手段が、前記保護されるコンピュータ・システムの環境をシミュレートするようにプログラムされたマイクロプロセッサ手段を備えていることを特徴とする装置。