悪意のあるプログラム
マルウェアに含まれる悪意のあるプログラムは、データを削除、ブロック、改竄、コピーしたり、コンピューターやコンピューターネットワークのパフォーマンスを低下させたりすることを目的として設計されています。このカテゴリに分類されるのは、ウイルス、ワーム、トロイの木馬、自動的に悪意のある動作を実行するプログラム(ハッキングツール、ポリモーフィックコードの作成に使用されるコンストラクタなど)などです。
ウイルスとワーム
ウイルスとワームは、コンピューター上やコンピューターネットワーク上で、ユーザーに気付かれずに、自らを複製する悪意のあるプログラムです。このような悪意のあるプログラムが自己複製してできたコピーも、自己複製能力を持ちます。
「所有者」(たとえばバックドア)による実行命令によって、リモートマシンに感染させたりネットワーク経由で拡散させるプログラムや、自己複製能力を持たない悪意のあるプログラムは、ウイルスとワームのカテゴリに含まれません。
あるプログラムをウイルスとワームのサブカテゴリ内の個別のふるまいとして分類できるかどうかを判断するときは、そのプログラムがどのように拡散するか(つまり、悪意のあるプログラムが自らのコピーをローカルリソースやネットワークリソースを介してどのように拡散するか)を主な特徴として確認します。
このサブカテゴリ内のすべてのプログラムには、トロイの木馬の機能が追加されている可能性があります。
また、多くのワームは複数の方法を利用して、ネットワーク経由でコピーを拡散させます。このカテゴリでは、検知したオブジェクトの持つ拡散機能による分類ルールを使用します。
トロイの木馬
トロイの木馬は、ユーザーによって承認されていない動作を実行する悪意のあるプログラムです。データの削除、ブロック、改竄、コピーなどを行う他に、コンピューターやコンピューターネットワークのパフォーマンスを低下させることがあります。このカテゴリに分類される脅威は、ウイルスやワームとは異なり、自らのコピーを作成したり、自己複製したりすることはできません。
トロイの木馬は、感染したコンピューター上でそれが実行する動作の種別に基づいて分類されます。
疑わしいパッカー
悪意のあるプログラムは、早期のヒューリスティック分析によるリバースエンジニアリングを回避し、プログラムのふるまいの分析を妨害するために、ファイルの暗号化を組み合わせたさまざまな方法で圧縮されることがあります。そのためのツールがパッカーです。アンチウイルス製品は、パッカーによって圧縮された疑わしい圧縮アイテムの動作結果を検知します。
パッカーによって圧縮されたファイルには、アンチウイルス製品の検知から逃れるために、実行されるまでコードを部分的にしか複合化しない場合や、特定の曜日にのみ完全に復号化して悪意のあるプログラムを起動する場合があります。
悪意のあるツール
悪意のあるツールは、ウイルス、ワーム、トロイの木馬を自動的に作成する、リモートサーバーにDoS攻撃を開始する、他のコンピューターをハッキングするなどの動作を実行するように設計された悪意のあるプログラムです。ウイルス、ワーム、トロイの木馬と異なっているのは、このサブカテゴリに含まれるマルウェアは、それが実行されるコンピューターにとって直接的な脅威を与えませんが、プログラムの悪意のあるペイロードによって間接的に被害を与える可能性があります。