2009年8月25日

W32.Induc その2

この件に関するFAQの翻訳がリリースされています。

W32/Induc-A Virus (Compile-A-Virus)に関するQ&A

単純に今回の(現在の)ウィルスだけを考えればこれでいいのかもしれませんが、このFAQにある対応をくぐりぬけるような変種は簡単に考え付きます。この問題を完全に回避するには、ライブラリパスにリストアップされているLib、Bin、Imports、Projects\Bpl、Lib\Indy10およびデバッグdcuパスにリストアップされているLib\Debug、Lib\Debug\Indy10のように既知のパスに既知のユニット名のdcuが格納されているものを全て置き換えられないようにする必要があります(例えばIndy10に属するユニットのmalware版をLibに配置すればこちらがリンクされてしまいますよね)。

そのための方法としては、常に削除+既知でない場所に配置したバックアップからコピーする、ということも考えられますし、あるいはハッシュを保存しておいてそれを比較して検証するようなことでもいいかもしれません。なにかツールを作成してみますか…。

0 件のコメント: