1)管理者やall userのスタートアップへの登録(他の管理者権限でログインしている場合にウイルスが活動すること)
2)システムファイルや管理者ドキュメントの読み取りや流出
3)その他、そのユーザーが何も重要なファイルを作成したり閲覧したりする権限がないとしても発生する問題
はあるのでしょうか?
ユーザーがウイルスに感染することによって生まれる問題はメールなどを使ったウイルス二次拡散のみであるという認識では間違っているのでしょうか?
もし問題がある場合、それがWindows自体の設計で生じる問題・何らかのセキュリティホールによって生じる問題のどちらなのか、セキュリティホールを利用する問題の場合、現在WindowsUpdateを行っていても生じる問題なのか、過去にこういった問題があった、という話なのかを合わせてお願いします
一般ユーザーというのは制限ユーザーの事でしょうか?
制限ユーザーの場合、基本的にはシステムドライブやレジストリのHKEY_LOCAL_MACHINE等を書き換えることはできません。
しかし以下のURLのようなセキュリティーホールが原因で管理者権限が必要な処理でも一般ユーザーの権限で可能になります。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030417/1/
また、セキュリティーホールが無かったとしても
制限ユーザーAが感染する。
↓
ウイルスが制限ユーザーAのアクセスできる範囲で他の実行ファイルに感染する。
↓
管理者が感染したウイルス付きの実行ファイルを実行する(普通のソフトにも感染するので気づかない)
↓
ウイルスは実行したユーザーが管理者権限を持っているか調べる
↓
管理者権限を持っているならレジストリに自動起動を登録する。
↓
完全にウイルスに感染。ウイルスは色々やり放題。
このような可能性もあります。
WindowsのAPIには各所に孔というかほんらい使いやすいように造られたものがあります。よってあげられている3項目はすべて可能です。(もちろんexe等アプリケーションの実行許可、保護されてないシステムへのアクセス許可が必要ですが、これを制限するアカウントはWinXPにはありません)
そもそも二時拡散のみではウィルスとしての意味がありませんよね?(昔みなにPCシステムがいかに弱いかを見せ付けるためにものすごいスピードで拡散のみおこなるウィルスがあったそうです。)
WindowsUpdateとかいう問題ではなくおきうることですし、Windowsでのアドミニストレータ権限の取得はプログラムから行うこともできるそうです。(相当裏技ですが)
ウィルスとは本来PCのデータを盗んだり、消したりしてユーザーを困らせるために作られたもので、拡散しないウィルスもあるぐらいです。
http://visible.hp.infoseek.co.jp/prog/vctips/
アングラくさいプログラムの書き方が乗ってます。
ありがとうございます。挙げていただいたURLってuser権限から任意のレジストリを読み出せるってことですかね。だとすると非常にまずいですね…
FPN-山田ウイルス に 山田オルタナティブ 暴露ウィルスです
例えばこの「山田オルタナティブ」ですが
Winnyがインストールされていなくとも
PC内のドキュメントなどを流出させるウィルスです。
「Winnyがなければ流出はしない」などという固定観念があると
感染したことに気づかずにいてしまうかもしれません。
しかもこのようなウィルスはセキュリティホールなどにより感染するものではありません。
少なくともウィルスに対する考え方として
「○○なことは(あるいは○○であれば)できない」という見方は
少々危険な固定観念になってしまう可能性があります。
Windows Updateをしっかりしていても
ウィルス対策ソフトがなければ片手落ちですし
ソフトがあっても定義ファイルが最新でなければ意味がないわけです。
ウィルス対策は色々なシステム的な対策をきちんとしておくことと
一番大事なことは使用者が正しい認識の下に
怪しいファイルを実行しない、などの人的な心構えを持つことが大事です。
最後に簡潔な質問の答えですが
1,2,3すべてについて起こると思っておくべきですし
「メールなどを使ったウイルス二次拡散のみであるという認識」
は間違った認識ですので改めるべきだ
ということになります。
いや、例えば山田ってHTTPサーバー立てるウイルスでしたっけ。それがuser権限で実行された場合、管理者権限のドキュメントなどが読み取られることはあるのでしょうか?といった質問です
二次拡散に関しては、例えばuser権限でもメールの送信くらいできますからuser権限でも絶対起こりますよねという意味です
一般ユーザーというのは制限ユーザーの事でしょうか?
制限ユーザーの場合、基本的にはシステムドライブやレジストリのHKEY_LOCAL_MACHINE等を書き換えることはできません。
しかし以下のURLのようなセキュリティーホールが原因で管理者権限が必要な処理でも一般ユーザーの権限で可能になります。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030417/1/
また、セキュリティーホールが無かったとしても
制限ユーザーAが感染する。
↓
ウイルスが制限ユーザーAのアクセスできる範囲で他の実行ファイルに感染する。
↓
管理者が感染したウイルス付きの実行ファイルを実行する(普通のソフトにも感染するので気づかない)
↓
ウイルスは実行したユーザーが管理者権限を持っているか調べる
↓
管理者権限を持っているならレジストリに自動起動を登録する。
↓
完全にウイルスに感染。ウイルスは色々やり放題。
このような可能性もあります。
ありがとうございます。非常に参考になりました。
制限ユーザーですね。すみません。
制限ユーザーができるのは
1)HDDのC:\Documents and Settings\ユーザー
2)Dドライブなどシステム以外のHDD領域
3)レジストリのHKEY_LOCAL_MACHINE
のアクセスや書き換えで、1や3だけなら他の管理者ユーザーに影響を与えたり、重要なデータにアクセスされる危険はないが、2のファイルを汚染され管理者がそれを実行してしまうと駄目ということですよね
上が間違ってましたらご指摘お願いします
>3)レジストリのHKEY_LOCAL_MACHINE
HKEY_LOCAL_MACHINEではなくHKEY_CURRENT_USERです。
また、隠しフォルダになっていますがC:\Documents and Settings\ユーザーの名前\Application Data
もアクセス可能です。
ちなみに、管理者でログインしていても以下の方法ならば制限ユーザー権限で実行ファイルを実行できます。
http://www.atmarkit.co.jp/fwin2k/win2ktips/059execau/execau....
> HKEY_LOCAL_MACHINEではなくHKEY_CURRENT_USER
失礼しました。ご指摘ありがとうございます
> C:\Documents and Settings\ユーザーの名前\Application Dataもアクセス可能
これは、制限ユーザーでログインしていても管理者ユーザーのApplication Dataにアクセス可能という意味でしょうか?帰宅後実験してみます
> 以下の方法ならば
別のユーザーとして実行するというショートカットを作れれば便利なんですけど…。毎回パスワードを打ち込むのがどうも苦手で
また、以前実験したとき、管理者でログインした後、制限ユーザーとしてexplorer.exeを実行することができなかったんですが、explorerは別ユーザーで起動するのが無理なんでしょうかね…
ありがとうございます。非常に参考になりました。
制限ユーザーですね。すみません。
制限ユーザーができるのは
1)HDDのC:\Documents and Settings\ユーザー
2)Dドライブなどシステム以外のHDD領域
3)レジストリのHKEY_LOCAL_MACHINE
のアクセスや書き換えで、1や3だけなら他の管理者ユーザーに影響を与えたり、重要なデータにアクセスされる危険はないが、2のファイルを汚染され管理者がそれを実行してしまうと駄目ということですよね
上が間違ってましたらご指摘お願いします