概 要:
隔離されたネットワーク(Infection Network)
で行なわれるコンピュータウィルスの解析において、仮想的なインターネットをどのように構築して、コンピュータウィルスの解析に役立てるかを論じる。
加えて、定義ファイルが出来上がるまでの工程とコンピュータウィルスに関する最近の動向を解説する。
発表テーマについて活発に議論をしたい論点:
Infection Network 内での仮想インターネットの構築
・必ず決まった IP Address を返す DNS
・NATを使って全てのパケットを一つのホストに送る
・全てのメールを受け取る mail server
・全てのリクエストに取りあえずの返事をする HTTP server
・IRC, telnet, ftp, ssh, samba, NTP などなどテンコ盛りのサービスを実装
・MSN Messenger, AOL Messenger などのサービスも実装
定義ファイルが出来上がるまでの工程
・コンピュータウィルス自動解析システム
・Black box analyze - 解析ツール, 仮想インターネット
・White box analyze - unpack, decript, 逆アセンブル
・シグネチャの作成 - シグネチャの種類(CRC, string, エミュレーション)
・QA, Liveupdate の配信
最近の動向
・一日、何件ぐらのウィルスが送られてくるのか。
・一日、何個ぐらいシグネチャが作られるか。
・bot系ワームが更に増えている。
・Mass Mailerは相変わらず脅威。
・MydoomにBot機能が追加されたウィルス W32.Mytobの亜種が増加中。
・IMで感染するウィルスが増えてきている。 |