ウイルス対策について詳しい方にお尋ねしたいのですが、WindowsXPのユーザーがウイルスを実行してしまった場合


1)管理者やall userのスタートアップへの登録(他の管理者権限でログインしている場合にウイルスが活動すること)
2)システムファイルや管理者ドキュメントの読み取りや流出
3)その他、そのユーザーが何も重要なファイルを作成したり閲覧したりする権限がないとしても発生する問題

はあるのでしょうか?
ユーザーがウイルスに感染することによって生まれる問題はメールなどを使ったウイルス二次拡散のみであるという認識では間違っているのでしょうか?

もし問題がある場合、それがWindows自体の設計で生じる問題・何らかのセキュリティホールによって生じる問題のどちらなのか、セキュリティホールを利用する問題の場合、現在WindowsUpdateを行っていても生じる問題なのか、過去にこういった問題があった、という話なのかを合わせてお願いします

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2006/03/31 23:40:40
  • 終了:2006/04/05 18:07:29

ベストアンサー

id:Will_NET No.3

Will_NET回答回数14ベストアンサー獲得回数12006/04/01 21:04:16

ポイント40pt

一般ユーザーというのは制限ユーザーの事でしょうか?

制限ユーザーの場合、基本的にはシステムドライブやレジストリのHKEY_LOCAL_MACHINE等を書き換えることはできません。

しかし以下のURLのようなセキュリティーホールが原因で管理者権限が必要な処理でも一般ユーザーの権限で可能になります。

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030417/1/

また、セキュリティーホールが無かったとしても

制限ユーザーAが感染する。

    ↓

ウイルスが制限ユーザーAのアクセスできる範囲で他の実行ファイルに感染する。

    ↓

管理者が感染したウイルス付きの実行ファイルを実行する(普通のソフトにも感染するので気づかない)

    ↓

ウイルスは実行したユーザーが管理者権限を持っているか調べる

    ↓

管理者権限を持っているならレジストリに自動起動を登録する。

    ↓

完全にウイルスに感染。ウイルスは色々やり放題。

このような可能性もあります。

id:flatlight

ありがとうございます。非常に参考になりました。

制限ユーザーですね。すみません。

制限ユーザーができるのは

1)HDDのC:\Documents and Settings\ユーザー

2)Dドライブなどシステム以外のHDD領域

3)レジストリのHKEY_LOCAL_MACHINE

のアクセスや書き換えで、1や3だけなら他の管理者ユーザーに影響を与えたり、重要なデータにアクセスされる危険はないが、2のファイルを汚染され管理者がそれを実行してしまうと駄目ということですよね

上が間違ってましたらご指摘お願いします

2006/04/02 00:15:04

その他の回答(3件)

id:ToMmY No.1

ToMmY回答回数656ベストアンサー獲得回数192006/04/01 00:14:21

ポイント10pt

WindowsのAPIには各所に孔というかほんらい使いやすいように造られたものがあります。よってあげられている3項目はすべて可能です。(もちろんexe等アプリケーションの実行許可、保護されてないシステムへのアクセス許可が必要ですが、これを制限するアカウントはWinXPにはありません)

そもそも二時拡散のみではウィルスとしての意味がありませんよね?(昔みなにPCシステムがいかに弱いかを見せ付けるためにものすごいスピードで拡散のみおこなるウィルスがあったそうです。)

WindowsUpdateとかいう問題ではなくおきうることですし、Windowsでのアドミニストレータ権限の取得はプログラムから行うこともできるそうです。(相当裏技ですが)

ウィルスとは本来PCのデータを盗んだり、消したりしてユーザーを困らせるために作られたもので、拡散しないウィルスもあるぐらいです。

http://visible.hp.infoseek.co.jp/prog/vctips/

アングラくさいプログラムの書き方が乗ってます。

id:flatlight

ありがとうございます。挙げていただいたURLってuser権限から任意のレジストリを読み出せるってことですかね。だとすると非常にまずいですね…

2006/04/01 01:03:37
id:mizunouenohana No.2

mizunouenohana回答回数920ベストアンサー獲得回数92006/04/01 00:14:38

FPN-山田ウイルス に 山田オルタナティブ 暴露ウィルスです

例えばこの「山田オルタナティブ」ですが

Winnyがインストールされていなくとも

PC内のドキュメントなどを流出させるウィルスです。

「Winnyがなければ流出はしない」などという固定観念があると

感染したことに気づかずにいてしまうかもしれません。

しかもこのようなウィルスはセキュリティホールなどにより感染するものではありません。

少なくともウィルスに対する考え方として

「○○なことは(あるいは○○であれば)できない」という見方は

少々危険な固定観念になってしまう可能性があります。

Windows Updateをしっかりしていても

ウィルス対策ソフトがなければ片手落ちですし

ソフトがあっても定義ファイルが最新でなければ意味がないわけです。

ウィルス対策は色々なシステム的な対策をきちんとしておくことと

一番大事なことは使用者が正しい認識の下に

怪しいファイルを実行しない、などの人的な心構えを持つことが大事です。

最後に簡潔な質問の答えですが

1,2,3すべてについて起こると思っておくべきですし

「メールなどを使ったウイルス二次拡散のみであるという認識」

は間違った認識ですので改めるべきだ

ということになります。

id:flatlight

いや、例えば山田ってHTTPサーバー立てるウイルスでしたっけ。それがuser権限で実行された場合、管理者権限のドキュメントなどが読み取られることはあるのでしょうか?といった質問です

二次拡散に関しては、例えばuser権限でもメールの送信くらいできますからuser権限でも絶対起こりますよねという意味です

2006/04/01 01:33:55
id:Will_NET No.3

Will_NET回答回数14ベストアンサー獲得回数12006/04/01 21:04:16ここでベストアンサー

ポイント40pt

一般ユーザーというのは制限ユーザーの事でしょうか?

制限ユーザーの場合、基本的にはシステムドライブやレジストリのHKEY_LOCAL_MACHINE等を書き換えることはできません。

しかし以下のURLのようなセキュリティーホールが原因で管理者権限が必要な処理でも一般ユーザーの権限で可能になります。

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030417/1/

また、セキュリティーホールが無かったとしても

制限ユーザーAが感染する。

    ↓

ウイルスが制限ユーザーAのアクセスできる範囲で他の実行ファイルに感染する。

    ↓

管理者が感染したウイルス付きの実行ファイルを実行する(普通のソフトにも感染するので気づかない)

    ↓

ウイルスは実行したユーザーが管理者権限を持っているか調べる

    ↓

管理者権限を持っているならレジストリに自動起動を登録する。

    ↓

完全にウイルスに感染。ウイルスは色々やり放題。

このような可能性もあります。

id:flatlight

ありがとうございます。非常に参考になりました。

制限ユーザーですね。すみません。

制限ユーザーができるのは

1)HDDのC:\Documents and Settings\ユーザー

2)Dドライブなどシステム以外のHDD領域

3)レジストリのHKEY_LOCAL_MACHINE

のアクセスや書き換えで、1や3だけなら他の管理者ユーザーに影響を与えたり、重要なデータにアクセスされる危険はないが、2のファイルを汚染され管理者がそれを実行してしまうと駄目ということですよね

上が間違ってましたらご指摘お願いします

2006/04/02 00:15:04
id:Will_NET No.4

Will_NET回答回数14ベストアンサー獲得回数12006/04/02 11:31:41

ポイント40pt

>3)レジストリのHKEY_LOCAL_MACHINE

HKEY_LOCAL_MACHINEではなくHKEY_CURRENT_USERです。

また、隠しフォルダになっていますがC:\Documents and Settings\ユーザーの名前\Application Data

もアクセス可能です。


ちなみに、管理者でログインしていても以下の方法ならば制限ユーザー権限で実行ファイルを実行できます。

http://www.atmarkit.co.jp/fwin2k/win2ktips/059execau/execau....

id:flatlight

> HKEY_LOCAL_MACHINEではなくHKEY_CURRENT_USER

失礼しました。ご指摘ありがとうございます

> C:\Documents and Settings\ユーザーの名前\Application Dataもアクセス可能

これは、制限ユーザーでログインしていても管理者ユーザーのApplication Dataにアクセス可能という意味でしょうか?帰宅後実験してみます

> 以下の方法ならば

別のユーザーとして実行するというショートカットを作れれば便利なんですけど…。毎回パスワードを打ち込むのがどうも苦手で

また、以前実験したとき、管理者でログインした後、制限ユーザーとしてexplorer.exeを実行することができなかったんですが、explorerは別ユーザーで起動するのが無理なんでしょうかね…

2006/04/02 12:50:13

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません