次の定義がalt.comp.virus FRQ(Harly、1998)から再版されている。
ウイルスとは何か(およびTrojanとWormとは何か)?
(コンピュータ)ウイルスとは、他のPCユーザーが気づかないうちに、自己増殖するためにプログ ラム(の実行可能コードのブロック)に添付され、上書きされるかまたは他のプログラムと置換され るプログラムである。
大部分のウイルスは、比較的無害で、目立った影響もなく何年も存在しているが、中にはデータ・フ ァイルに(場合によっては、知らぬ間に長期間に渡って)不規則に損害を与えたり、ファイルおよび ディスクを破壊しようとする。この他、意図しない被害を与えるものもある。良性のウイルス(明ら かに非破壊的ウイルス)の場合でも、ディスク・スペースまたは主メモリーあるいはその両方を占有 したり、CPU処理時間を使用して、ウイルスの検出および除去に時間や費用を消費することによって 重大な損害を引き起こす。
Trojan Horsesは、犠牲者が予期しないまたは希望しない、いくつかのひそかなそして通常な有害な動
作を実行するプログラムである。この特異性により、非増殖の破壊ウイルスとは異なっており、一般 的に決して受け入れられない。ウイルスはTrojan Horsesの特殊な例であると論議する意見があるが、
プログラムが複製可能なコードを含んでいるかどうかによって、ウイルスとTrojan Horsesを区別す ることが受け入れられるようになってきている。
Dropperは、ウイルスまたはTrojan Horsesをしばしばひそかにインストールするプログラムである。
Wormは、(通常)ネットワーク接続を通じて拡散されるプログラムである。ウイルスとは異なり、
ホスト・プログラムには添付されない。実際、Wormは、パーソナル・コンピュータ・システムに関 連付けられることが通常はない。現行バージョンのVirus-L FAQに、優れた、非常に長い定義が記さ れている。
(以下はやや学術的な気晴らしである)
大半は上記の用語の詳細な定義に費やしている。関連する問題点のほとんどを示しているので私の好 きな、ウイルスについての以下の定義を含めるにあたっては、Fridric Skulasonの許諾を得ている。
#1 ウイルスは、複製可能なプログラムである。すなわち、それ自身のコピーを生成する(変更もで きる)。
#2 複製は、副次効果ではなく、故意に行われる。
#3 少なくとも複製のいくつかは、この定義によればウイルスである。
#4 ホストの実行にウイルスの実行が包含されるという意味で、ウイルスは自身をホストに添付しな ければならない。
#1 は、ウイルスとTrojan Horsesおよび他の非複製Malware間を区別する主な定義である。
#2は、自身のコピーを含む、ディスクをコピーするディスク・コピー・プログラムの例の除外に必要 である。
#3 は、「恣意的な」ウイルスとは言い難いウイルスの除外に必要である。
#4 は、「Worm」の除外に必要であるが、同時に、付随ウイルスと.DOCウイルスを含むのに十分な ほど拡散される必要がある。
ウイルスはどのように動作するか?
ファイル・ウイルスは、ファイル(以下のセクションまたは付随ウイルスに関する comp.virus FAQ を参照のこと)、通常は実行可能アプリケーション(たとえば、ワード・プロセッシング・プログラ ムまたは、DOSプログラム)に自身を添付する。一般に、ファイル・ウイルス自体は、データ・ファ イルに感染しない。しかし、データ・ファイルには、マクロなどの埋込み実行可能コードが含まれて おり、これをウイルスまたは Trojan ライターが使用する。バッチ・ファイル、ポストスクリプト・
ファイル、および他のプログラムによってコンパイルや変換できるコマンドを含むその他のソース・
コードなどのテキスト・ファイルは、Malware(不正ソフトウェア)の潜在的な標的になることがあ る。ただし、このようなMalwareは現在のところ一般的ではない。
ブート・セクター・ウイルスは、すべての DOS フォーマット・ディスクの第1セクター(ブート・
セクター)にあるプログラムを変更する。一般に、ブート・セクター感染源は、独自のコード(通常、
ハード・ディスクのブート・セクターまたは、パーティション・セクターに感染する)を実行し、PC ブートアップ(スタートアップ)・プロセスに続く。多くの場合、そのPCで使用されるすべての書 込み可能フロッピーが、それ以降感染される。
古典的な多数に分かれたウイルスは、上記のウイルス・タイプの両方の機能を持っている。通常、感 染「ファイル」が実行されると、ハード・ディスクのブート・セクターまたはパーティション・セク ターに感染し、その後ターゲット・システムで使用またはフォーマットされるフロッピーディスクに 感染する。
以下のウイルス・タイプについては、comp.virus/VIRUS-L FAQで、詳細に定義されている。
STEALTH VIRUSES ― ウイルス対策プログラムから存在を隠す長さになるウイルス。
POLYMORPHIC VIRUSES ― すべての複製ごとに変化するため、感染の可能性のあるファイルで、
簡単な、単一順序のバイトの検索によっては検出することができないウイルス。
COMPANION VIRUSES ― ユーザーが実行しようとするファイルの代わりにあるファイルを実行し
て拡散した後、元のファイルを実行するウイルス。たとえば、ファイル MYAPP.EXE では、
MYAPP.COMと呼ばれるファイルの作成によって「感染」する。
DOS の実行方法のため、ユーザーが、C>プロンプトで MYAPP と入力したとき、MYAPP.COM が
MYAPP.EXE の代わりに実行される。MYAPP.COM は、その感染ルーチンを実行してから静かに
MYAPP.EXE を実行する。[これだけが、可能性のある付随(または spawing ウイルスのタイプ
ではないことに注意せよ]
ARMOURED VIRUSES ― ウイルス対策研究者にとってその作用と影響の発見を困難にするために
特に記述されたウイルス。
ウイルスはどのように拡散するか?
PCがドライブAの、感染したフロッピー・ディスクから(再)ブートした場合(通常は、誤って起 こる)、そのPCは、ブート・セクター・ウイルス(または、パーティション・セクター・ウイルス)
により感染される。Boot Sector/MBR感染源は、最も一般的に検出されるウイルスであり、通常はネ ットワークを通じては拡散されない。これらは(通常)、仮想的に任意のソースから、すなわち、自 発的デモ用ディスク、新品のソフトウェア(有名会社のものであっても)、営業担当者やまたはエン ジニアによってPCで使用されるディスク、新品のハードウェア、修理されたハードウェアなどのソ ースから感染したフロッピー・ディスクによって拡散される。
ファイル・ウイルスが添付されたプログラムが実行されると、ファイル・ウイルスは他のファイルに 感染し、ネットワークを通じて(しばしば非常に迅速に)拡散できる。これらは、ブート・セクター・
ウイルスと同じソースから拡散されるが、インターネットのFTPサイトや掲示板などからもコピーさ れ拡散される(これは、Trojan Horsesの場合にも適用される)。
古典的な多数に分かれたウイルスは、ブート・セクターとファイルの両方に感染する(厳密に言うと、
多数に分かれたという用語の他の定義では、他の攻撃形式と組み合わせて完全に実行可能である)。
しばしば感染ファイルは、ブート・セクターの感染に使用される。これは、ブート・セクター感染源 がネットワークを通じて拡散する一つの例である。