トレンドマイクロは2017年8月中旬、感染パソコンに痕跡を残さない新型の「ファイルレス」ウイルスが確認されたとして注意を呼びかけた。ファイルレスウイルスはパソコンにファイルを作成しないウイルス。今回の新型は、従来のファイルレスウイルスよりも痕跡を残さないという。
メモリーに直接読み込まれる
一般的なウイルスは、ファイルの形でパソコンに侵入する。ユーザーがファイルを開くとメモリーに読み込まれて動き出し、悪質な動作をする。
一方、ファイルレスウイルスは、ハードディスクにファイルを作成しない。ウイルスのプログラム(コード)をメモリーに直接読み込ませて動作する。このため、ファイル単位で検索する通常のウイルス対策ソフトでは検知できない。
ファイルレスウイルスの多くは、ウイルスプログラムの隠し場所にレジストリを使う。レジストリとは、Windowsの設定情報などを格納しておくデータベース。テキストベースの単なる情報だけではなく、ダイナミックリンクライブラリ(DLL)などのプログラム(バイナリデータ)も登録できる。
従来のファイルレスウイルスの典型的な動きは次の通り。
まず、感染のトリガーとなるファイルが、メールに添付されて送られてくる。ユーザーがそのファイルをクリックすると、暗号化されたウイルスがレジストリ(レジストリファイル)に書き込まれる。つまり、ウイルス単体ではファイルとして存在しない。
同時に、暗号化されたウイルスを復号するプログラム(復号プログラム)が作成される。その後、トリガーとなるファイルは自分自身を消去する。
復号プログラムはパソコンが起動するたびに実行され、暗号化されたウイルス本体を復号し、メモリーに読み込ませて実行させる。
つまり、悪質な動作をするウイルス本体(復号されたウイルス本体)はメモリーにしか存在しない。このため、ファイル単位で検索するウイルス対策ソフトでは検知できない。
だが、ウイルス本体のファイルは存在しないものの、復号プログラムなどのウイルスを補助するファイルは存在する。パソコンへの侵入に使用される、トリガーとなるファイルも一時的に存在する。このため「厳密には『ファイルレス』ではない」(トレンドマイクロの岡本 勝之セキュリティエバンジェリスト)。