WO2005103895A1

WO2005103895A1 - コンピュータウィルス固有情報抽出装置、コンピュータウィルス固有情報抽出方法及びコンピュータウィルス固有情報抽出プログラム

Info

Publication number: WO2005103895A1
Application number: PCT/JP2005/007814
Authority: WO
Inventors: Yuji Koui; Naoshi Nakaya; Ryuuichi Koike
Original assignee: Incorporated National University Iwate University
Priority date: 2004-04-26
Filing date: 2005-04-25
Publication date: 2005-11-03
Also published as: JP4025882B2; JPWO2005103895A1; EP1742151A1; US20080282349A1; EP1742151A4

Abstract

　コンピュータウィルス固有情報の抽出を迅速に行うことを可能とする。　サーバ１００は、コンピュータウィルスであると特定された実行ファイルにおいて、固有であるとみなし得る情報の格納領域であると予め決められた特定領域であるヘッダ項目の「Ｉｍｐｏｒｔ　Ｔａｂｌｅ」等をシグネチャ項目の領域として特定し、その「Ｉｍｐｏｒｔ　Ｔａｂｌｅ」等の内容を読み出してシグネチャとして抽出する。更に、サーバ１００は、シグネチャを複数組み合わせて、新たなシグネチャとして抽出する。

Description

明細書

コンピュータウィルス固有情報抽出装置、コンピュータウィルス固有情報抽出方法及びコンピュータウィルス固有情報抽出プログラム

技術分野

[0001] 本発明は、コンピュータウィルスの検出に用いられるコンピュータウィルス固有情報を抽出するコンピュータウィルス固有情報抽出装置、コンピュータウィルス固有情報抽出装置におけるコンピュータウィルス固有情報抽出方法、及び、コンピュータウィルス固有情報抽出装置におけるコンピュータウィルス固有情報抽出プログラムに関する

背景技術

[0002] 近年のインターネットをはじめとするネットワークの急速な発展に伴い、コンピュータウィルスによる被害は年々深刻なものとなってきている。このコンピュータウィルスによる被害は、時間経過に伴い不特定多数に対し加速度的に被害を与える点や、本来は被害者であるユーザが気づかな、うちに加害者となる点などで、深刻の度合、が大きい。

[0003] コンピュータウィルスは、経済産業省の定義によれば、第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであって、自己伝染機能、潜伏機能及び発病機能の少なくとも 1つの機能を有するものであるとされている。従来、このようなコンピュータウィルスを検出する様々なシステムが提案されている（例えば、特許文献 1参照)。

[0004] 前述したような従来のコンピュータウィルス検出システムは、一般に、シグネチヤと称されるコンピュータウィルス固有情報を用いて、検査対象の実行ファイルとのパターンマッチングを行い、実行ファイル内にシグネチヤと同一の情報が含まれる場合には、その実行ファイルがコンピュータウィルスであると判断する。

特許文献 1：特開 2004 - 38273号公報

発明の開示

発明が解決しょうとする課題 [0005] しかしながら、従来のコンピュータウィルス検出システムでは、シグネチヤの抽出において、専門知識を有する者がコンピュータウィルスを解析し、そのコンピュータウイルスの固有情報を探し出す必要があり、時間がかかる。このようにシグネチヤの抽出に時間が力かることは、近年の電子メールを媒介として拡散するコンピュータウィルスのように拡散速度が速いコンピュータウィルスの検出には十分ではなぐ被害の広がりを防止することができな、恐れがある。

[0006] 本発明は従来の問題を解決するためになされたもので、コンピュータウィルス自体の情報ではなく実行ファイルのヘッダ領域等の情報力コンピュータウィルス固有情報の抽出を迅速に行うことが可能なコンピュータウィルス固有情報抽出装置、コンビユータウィルス固有情報抽出方法及びコンピュータウィルス固有情報抽出プログラムを提供することにある。

課題を解決するための手段

[0007] 本発明のコンピュータウィルス固有情報抽出装置は、コンピュータウィルスの検出に用いられるコンピュータウィルス固有情報を抽出するものであって、コンピュータウィルスであると特定された実行ファイルを取得する取得手段と、実行ファイルにおヽて固有であるとみなし得る情報の格納領域であると予め決められた特定領域に含まれる情報を、前記取得手段により取得された実行ファイル力コンピュータウィルス固有情報として抽出する抽出手段とを有する構成となる。

[0008] この構成により、実行ファイルにおいて固有であるとみなし得る情報の格納領域であると予め決められた特定領域に含まれる情報を、コンピュータウィルスであると特定された実行ファイルカゝらコンピュータウィルス固有情報として自動抽出されるため、コンピュータウィルス固有情報の抽出を迅速に行うことが可能となる。

[0009] また、本発明のコンピュータウィルス固有情報抽出装置は、前記特定領域が、複数の実行ファイル間で一致する確率が所定値以下となる情報の格納領域である構成となる。

[0010] この構成により、コンピュータウィルス固有情報をコンピュータウィルスの検出に用いた場合における誤検出を抑制することができる。

[0011] また、本発明のコンピュータウィルス固有情報抽出装置は、前記抽出手段において、前記実行ファイルが前記特定領域より前にオフセット領域を含む場合に、前記オフセット領域のオフセット値に基づ、て、前記実行ファイルにおける特定領域の先頭位置を特定する構成となる。

[0012] この構成により、実行ファイルにおける特定領域の位置が可変である場合においても、その特定領域を確実に特定することが可能となる。

[0013] また、本発明のコンピュータウィルス固有情報抽出装置は、前記特定領域が、前記実行ファイルにおけるヘッダ領域の一部である構成となる。

[0014] また、本発明のコンピュータウィルス固有情報抽出装置は、前記取得手段が、電子メールで転送されるエンコード形式の実行ファイルを取得するとともに、前記抽出手段は、前記取得手段により取得されたエンコード形式の実行ファイルにおける特定領域の情報をコンピュータウィルス固有情報として抽出する構成となる。

[0015] この構成により、実行ファイルが電子メールでエンコードされて送られてくるような場合においても、そのエンコードされた実行ファイルに応じたコンピュータウィルス固有情報の抽出が可能となる。

[0016] また、本発明のコンピュータウィルス固有情報抽出装置は、前記取得手段及び前記抽出手段力 base64のエンコード形式でエンコードされた実行ファイルを扱う構成となる。

[0017] 電子メールに添付されて送られてくる実行ファイルは一般に base64形式のェンコード処理がなされているため、この構成により、電子メールに添付されて送られてくる実行ファイルに応じたコンピュータウィルス固有情報の抽出が可能となる。

[0018] また、本発明のコンピュータウィルス固有情報抽出装置は、前記抽出手段が、前記エンコード形式の実行ファイルに対応したエンコード前の実行ファイルにおいて固有であるとみなし得る情報の格納領域の先頭位置力 + 1バイト目であり、大きさが mバイトである場合に、前記エンコード形式の実行ファイルの先頭力 nZ3 X 4の小数点以下切り捨て値に 1をカ卩えた値の位置の第 1のキャラクタから（n+m) Z3 X 4の小数点以下切り捨て値に 1を加えた値の位置の第 2のキャラクタまでの領域を前記特定領域とし、前記第 1のキャラクタ力前記第 2のキャラクタまでのキャラクタ列をコンビユータウィルス固有情報として抽出する構成となる。 [0019] また、本発明のコンピュータウィルス固有情報抽出装置は、前記抽出手段が、抽出したコンピュータウィルス固有情報を複数組み合わせて、新たなコンピュータウィルス固有情報とする構成となる。

[0020] この構成により、コンピュータウィルス固有情報抽出装置で抽出されたコンピュータウィルス固有情報を複数組み合わせて、新たなコンピュータウィルス固有情報とすることで、コンピュータウィルス固有情報が異なる実行ファイル間で一致することを極力避け、シグネチヤを用ヽたコンピュータウィルス検出における誤検出を極力抑制することができる。

[0021] また、本発明のコンピュータウィルス固有情報抽出装置は、前記実行ファイルが、所定の実行可能圧縮形式で圧縮された実行ファイルである構成となる。また、本発明のコンピュータウィルス固有情報抽出装置は、前記実行ファイルが、マイクロソフトの Wi ndows (登録商標）向けとして一般的な実行ファイル形式である PE (Portable Executable)形式である構成となる。

[0022] 実行ファイル形式が PE形式である場合の所定の圧縮形式で圧縮された実行フアイル、すなわち、所定の実行可能圧縮形式で圧縮された実行ファイルにおいて、固有であるとみなし得る情報の格納領域であると予め決められた特定領域が存在する場合には、この構成により、その特定領域に含まれる情報が、コンピュータウィルスであると特定された実行ファイルカゝらコンピュータウィルス固有情報として自動抽出されるため、コンピュータウィルス固有情報の抽出を迅速に行うことが可能となる。なお、実行ファイル形式は PE形式に限定されるものではない。

[0023] また、本発明のコンピュータウィルス固有情報抽出方法は、コンピュータウィルスの検出に用いられるコンピュータウィルス固有情報を抽出するコンピュータウィルス固有情報抽出装置におけるものであって、コンピュータウィルスであると特定された実行フアイルを取得する取得ステップと、実行ファイルにお、て固有であるとみなし得る情報の格納領域であると予め決められた特定領域に含まれる情報を、前記取得手段により取得された実行ファイル力コンピュータウィルス固有情報として抽出する抽出ステップとを有する構成となる。

[0024] また、本発明のコンピュータウィルス固有情報抽出方法は、前記特定領域が、複数の実行ファイル間で一致する確率が所定値以下となる情報の格納領域である構成となる。

[0025] また、本発明のコンピュータウィルス固有情報抽出方法は、前記抽出ステップにおいて、前記実行ファイルが前記特定領域より前にオフセット領域を含む場合に、前記オフセット領域のオフセット値に基づ、て、前記実行ファイルにおける特定領域の先頭位置を特定する構成となる。

[0026] また、本発明のコンピュータウィルス固有情報抽出方法は、前記特定領域が、前記実行ファイルにおけるヘッダ領域の一部である構成となる。

[0027] また、本発明のコンピュータウィルス固有情報抽出方法は、前記取得ステップが、電子メールで転送されるエンコード形式の実行ファイルを取得するとともに、前記抽出ステップは、前記取得ステップにより取得されたエンコード形式の実行ファイルにおける特定領域の情報をコンピュータウィルス固有情報として抽出する構成となる。

[0028] また、本発明のコンピュータウィルス固有情報抽出方法は、前記取得ステップ及び前記抽出ステップ力 base64のエンコード形式でエンコードされた実行ファイルを扱う構成となる。

[0029] また、本発明のコンピュータウィルス固有情報抽出方法は、前記抽出ステップが、前記エンコード形式の実行ファイルに対応したエンコード前の実行ファイルにおいて固有であるとみなし得る情報の格納領域の先頭位置力 + 1バイト目であり、大きさが mバイトである場合に、前記エンコード形式の実行ファイルの先頭力 nZ3 X 4の小数点以下切り捨て値に 1をカ卩えた値の位置の第 1のキャラクタから（n+m) Z3 X 4の小数点以下切り捨て値に 1を加えた値の位置の第 2のキャラクタまでの領域を前記特定領域とし、前記第 1のキャラクタ力前記第 2のキャラクタまでのキャラクタ列をコンピュータウィルス固有情報として抽出する構成となる。

[0030] また、本発明のコンピュータウィルス固有情報抽出方法は、前記抽出ステップが、抽出したコンピュータウィルス固有情報を複数組み合わせて、新たなコンピュータウイルス固有情報とする構成となる。

[0031] また、本発明のコンピュータウィルス固有情報抽出方法は、前記実行ファイルが、所定の実行可能圧縮形式で圧縮された実行ファイルである構成となる。また、本発明のコンピュータウィルス固有情報抽出方法は、前記実行ファイルが、 PE形式である構成となる。

[0032] また、本発明のコンピュータウィルス固有情報抽出プログラムは、コンピュータウィルスの検出に用いられるコンピュータウィルス固有情報を抽出するコンピュータウィルス固有情報抽出装置において実行されるものであって、コンピュータウィルスであると特定された実行ファイルを取得する取得ステップと、実行ファイルにおヽて固有であるとみなし得る情報の格納領域であると予め決められた特定領域に含まれる情報を、前記取得手段により取得された実行ファイル力コンピュータウィルス固有情報として抽出する抽出ステップとを有する構成となる。

[0033] また、本発明のコンピュータウィルス固有情報抽出プログラムは、前記特定領域が、複数の実行ファイル間で一致する確率が所定値以下となる情報の格納領域である構成となる。

[0034] また、本発明のコンピュータウィルス固有情報抽出プログラムは、前記抽出ステップにお、て、前記実行ファイルが前記特定領域より前にオフセット領域を含む場合に、前記オフセット領域のオフセット値に基づ、て、前記実行ファイルにおける特定領域の先頭位置を特定する構成となる。

[0035] また、本発明のコンピュータウィルス固有情報抽出プログラムは、前記特定領域が、前記実行ファイルにおけるヘッダ領域の一部である構成となる。

[0036] また、本発明のコンピュータウィルス固有情報抽出プログラムは、前記取得ステップ力電子メールで転送されるエンコード形式の実行ファイルを取得するとともに、前記抽出ステップは、前記取得ステップにより取得されたエンコード形式の実行ファイルにおける特定領域の情報をコンピュータウィルス固有情報として抽出する構成となる

[0037] また、本発明のコンピュータウィルス固有情報抽出プログラムは、前記取得ステップ及び前記抽出ステップ力 base64のエンコード形式でエンコードされた実行ファイルを扱う構成となる。

[0038] また、本発明のコンピュータウィルス固有情報抽出プログラムは、前記抽出ステップ力前記エンコード形式の実行ファイルに対応したエンコード前の実行ファイルにおいて固有であるとみなし得る情報格納領域の先頭位置が n+ 1バイト目であり、大きさが mバイトである場合に、前記エンコード形式の実行ファイルの先頭カゝら nZ3 X 4の小数点以下切り捨て値に 1をカ卩えた値の位置の第 1のキャラクタから (n+m) Z3 X 4 の小数点以下切り捨て値に 1を加えた値の位置の第 2のキャラクタまでの領域を前記特定領域とし、前記第 1のキャラクタ力前記第 2のキャラクタまでのキャラクタ列をコンピュータウィルス固有情報として抽出する構成となる。

[0039] また、本発明のコンピュータウィルス固有情報抽出プログラムは、前記抽出ステップ力抽出したコンピュータウィルス固有情報を複数組み合わせて、新たなコンピュータウィルス固有情報とする構成となる。

[0040] また、本発明のコンピュータウィルス固有情報抽出プログラムは、前記実行ファイル力所定の実行可能圧縮形式で圧縮された実行ファイルである構成となる。また、本発明のコンピュータウィルス固有情報抽出プログラムは、前記実行ファイルが、 PE形式である構成となる。

発明の効果

[0041] 本発明は、実行ファイルにおいて固有であるとみなし得る情報の格納領域であると予め決められた特定領域に含まれる情報を、コンピュータウィルスであると特定された実行ファイル力コンピュータウィルス固有情報として自動抽出するため、コンビユータウィルス固有情報の抽出を迅速に行うことが可能となる。

図面の簡単な説明

[0042] [図 1]コンピュータシステムの構成例を示す図である。

[図 2]実行ファイルのヘッダ構成を示す図である。

[図 3]ヘッダ項目の一致率を示す図である。

[図 4]サーバによるシグネチヤ抽出時の動作のフローチャートである。

[図 5]シグネチヤ項目とシグネチヤとの対応関係を示す図である。

[図 6]コンピュータウィルスの検出実験の結果を示す図である。

[図 7]実行可能圧縮が施されたコンピュータウィルスの検出実験の結果を示す図である。

符号の説明 [0043] 100 サーバ

200 シグネチヤ DB

240 危険実行ファイル DB

280 ウィルス培養装置

300— 1〜300— k、 310— 1〜310— j ノソコン

400 構内ネットワーク

500 インターネット

発明を実施するための最良の形態

[0044] コンピュータウィルス固有情報抽出装置は、実行ファイルにおいて固有であるとみなし得る情報の格納領域であると予め決められた特定領域に含まれる情報を、コンビユータウィルスであると特定された実行ファイル力コンピュータウィルス固有情報として自動抽出することにより、迅速なコンピュータウィルス固有情報の抽出を実現した。実施例 1

[0045] 以下、本発明を実施するための最良の形態について、図面に基づいて説明する、 [0046] 本発明の実施の形態におけるコンピュータシステムの構成例を図 1に示す。図 1に示すコンピュータシステムは、ゲートウェイやメールサーバ等として機能するものであり、構内ネットワーク（LAN : Local Area Network) 400とインターネット 500との間の通信を中継するサーバ 100と、コンピュータウィルスの固有情報であるシグネチヤを記憶するシグネチヤデータベース（DB) 200と、ウィルスに感染する可能性のある危険な実行ファイルを蓄えておく危険実行ファイルデータベース 240と、電子メールの添付ファイルからウィルスを高速で培養するウィルス培養装置 280と、構内ネットワーク 4 00に接続されるパーソナルコンピュータ（バソコン） 300— 1乃至 300— k (以下、これらパソコン 300— 1乃至 300— kをまとめて「パソコン 300」と称する）と、インターネット 500に接続されるパソコン 310— 1乃至 310— j (以下、これらパソコン 310— 1乃至 3 10 -jをまとめて「パソコン 310」と称する）とにより構成される。このコンピュータシステムは、オペレーティングシステムとしてマイクロソフトの Windows (登録商標）を実装して動作する。

[0047] 本発明は、コンピュータウィルスであると特定された実行ファイルを取得した後の処理に関するものである力参考として取得例を以下に示す。

[0048] 実行ファイルがコンピュータウィルスであるか否かの判定は、例えば、以下のような手順で行われる。すなわち、サーバ 100は、インターネット 500からの電子メールに添付されたファイルを受信すると、このファイルの拡張子を特定する。 Windows (登録商標）において、コンピュータウィルスの可能性のある実行ファイルの拡張子は、「e xe」、「com」、「bat」、「scr」、「lnk」、「pif」のいずれかである。このため、サーバ 100 は、特定した拡張子がこれら「exe」、「com」、「bat」、「scr」、「lnk」、「pif」のいずれかである場合、その拡張子を有する実行ファイルに対して識別情報である IDを付カロし、危険な実行ファイルとしてその実行ファイルを複製してウィルス培養装置 280に実行ファイルを渡す。次に、サーバ 100は、 IDと共に元の実行ファイルを危険な実行フアイルとして、危険実行ファイル DB240に蓄積する。更に、サーバ 100は、監視機能により、ウィルス培養装置 280を監視状態に置く。

[0049] ウィルス培養装置 280は、 base64形式の実行ファイルをバイナリ形式の実行フアイルに変換して実行する。そして、ウィルス培養装置 280には、 Windows (登録商標）環境にお、てシステムのレジストリやファイルを改竄しな、か、ウィルスメールを発行しないか等を監視する機能が装備されており、その実行の結果と実行ファイルに付加された IDがサーバ 100に戻される。

[0050] サーバ 100は、この実行結果を解析して、ウィルス培養装置 280によって実行された実行ファイルがコンピュータウィルスであるか否かを判定する。

[0051] 前述ではサーバ 100が、インターネット 500から受信した電子メールを処理する場合を想定したが、 LAN400から受信した電子を処理する場合にも、本発明は適用可能である。また、上記のサーバ 100は、ウィルス培養装置 280によって実行された実行ファイルがコンピュータウィルスである力否かを見極めた後に、受信した電子メールを処理していた。この場合には、ウィルス培養装置 280の判定に時間が掛かり、電子メールの処理性能に影響を及ぼす可能性もある。この対策としてサーバ 100は、ウイルス培養装置 280の判定が出る前に、受信した電子メールを宛先のパソコンに転送することも可能である。サーバ 100は、後に実行ファイルがコンピュータウィルスであると判明した時点で、シグネチヤを抽出する。以上がコンピュータウィルスであると特定された実行ファイルを取得する処理例である。

[0052] 次にサーバ 100は、コンピュータウィルスであると特定された実行ファイルのヘッダにおける特定領域の情報に基づ、てシグネチヤを自動抽出する。

[0053] 実行ファイルのヘッダ構成を図 2に示す。 Windows (登録商標）における実行ファィルは、 PE (Portable Executable)形式のフォーマットにより構成され、そのヘッダは、図 2に示すように、「MS— DOS (登録商標） Compatible Header] (MS - DOS ( 登録商標）互換ヘッダ）、「MS— DOS (登録商標） Stub] (MS DOS (登録商標)スタブ）、「COFF (Common Object File Format) Header」（COFFヘッダ）及び「Opt ional Header] (オプションヘッダ）の各ヘッダ領域により構成される。

[0054] これらのヘッダ領域のうち、 MS— DOS (登録商標）互換ヘッダ及び MS— DOS ( 登録商標)スタブは、下位互換のためのものであり、実行ファイルによっては存在しない場合がある。従って、オフセット領域としての MS— DOS (登録商標）互換ヘッダ及び MS— DOS (登録商標）スタブ内のヘッダ項目の情報はシグネチヤの抽出には適さない。なお、 MS— DOS (登録商標）互換ヘッダ及び MS— DOS (登録商標)スタブが存在する場合、これら MS— DOS (登録商標）互換ヘッダ及び MS— DOS (登録商標)スタブの領域の大きさは可変であり、その大きさ (バイト数)の合計は MS— D OS (登録商標）互換ヘッダの最後の「Offset main part」に設定される。

[0055] 一方、 COFFヘッダ及びオプションヘッダは、全ての Windows (登録商標）における実行ファイルに存在する。このため、本実施形態では、サーバ 100は、 COFFへッダ及びオプションヘッダに含まれるヘッダ項目の情報をシグネチヤの抽出に用いる。

[0056] 本発明者は、互いに異なる Windows (登録商標）における実行ファイルを 1000個用意し、これらの実行ファイルの中から任意の 2個を抽出した場合に、 COFFヘッダ及びオプションヘッダ内の各ヘッダ項目がー致する確率を調査した。

[0057] この調査によるヘッダ項目の一致率を図 3に示す。図 3では、ヘッダ項目と、そのへッダ項目が属するヘッダ領域と、そのヘッダ項目についての実行ファイル間での一致率が示されている。また、図 3では、一致率の低い、換言すれば、実行ファイル間で異なる確率の高、上位 10個のヘッダ項目が示されて、る。

[0058] シグネチヤを用いたコンピュータウィルスの検出にぉヽて誤検出を抑制するためには、サーバ 100は、シグネチヤの抽出において、実行ファイル間で一致率が所定値（例えば、 0. 5%)以下であるヘッダ項目を用いることが望ましい。図 3では、一致率の最も低いヘッダ項目は「Import Table」である。従って、サーバ 100は、この「Impo rt Table」をシグネチヤの抽出に用いることが最も望ましい。「Import Table」は、大きさが 8バイトであり、 COFFヘッダの先頭から 129バイト目の位置が先頭位置である。従って、 MS— DOS (登録商標）互換ヘッダ及び MS— DOS (登録商標)スタブが存在しない場合、 rimport Table」は、実行ファイルの先頭から 129バイト目の位置が先頭位置である。一方、 MS— DOS (登録商標）互換ヘッダ及び MS— DOS ( 登録商標）スタブが存在し、これらの大きさが「Offset main part」において示された αバイトである場合、「Import Table」は、実行ファイルの先頭から 129 + αバイト目の位置が先頭位置である。

[0059] 以下、サーバ 100によるシグネチヤ抽出時の動作を説明する。

[0060] サーバ 100によるシグネチヤ抽出時の動作のフローチャートを図 4に示す。なお、以下においては、電子メールに添付される実行ファイルがコンピュータウィルスである場合に、そのコンピュータウィルスを検出するためのシグネチヤが自動抽出される場合について説明する。

[0061] サーバ 100は、コンピュータウィルスであると特定された実行ファイルを取得する（S 101)。この取得される実行ファイルは、 base64形式でエンコードされた情報である。具体的には、サーバ 100は、実行ファイルをコンピュータウィルスであると判断した場合、その IDに対応した実行ファイルを危険実行ファイル DB240から読み出す。また、実行ファイルをコンピュータウィルスではないと判断した場合、その IDに対応した実行ファイルを危険実行ファイル DB240から読み出して、パソコン 300における宛先のパソコンに転送する。

[0062] サーバ 100は、コンピュータウィルスであると特定された base64形式の実行フアイルを取得すると、次に、シグネチヤの抽出に適したヘッダ項目（シグネチヤ項目）の領域を特定する（S 102)。

[0063] サーバ 100は、 base64形式の実行ファイル内のヘッダ項目（シグネチヤ項目）に対応する領域の内容を読み出してシグネチヤとして抽出する（S 103)。 [0064] サーバ 100は、シグネチヤを複数組み合わせて、新たなシグネチヤとするために、追加すべきシグネチヤが存在するか判断する（S104)。追加すべきシグネチヤが存在する場合には、 S 102以降の動作が繰り返される。

[0065] 一方、追加すべきシグネチヤが存在しない場合には、 S 105〖こ制御力 S移り、サーバ 100は、抽出した全てのシグネチヤを糸且み合わせて、新たなシグネチヤとし、シグネチャ DB200に記憶する（S105)。

[0066] ここで SI 02の具体的な特定方法を概説する。例えば、バイナリ形式の実行フアイルで「Import TableJがシグネチヤ項目となる場合、 MS— DOS (登録商標）互換へッダ及び MS— DOS (登録商標)スタブが存在しない場合には、実行ファイルの先頭力も 129バイト目力も 136バイト目までの 8バイトの領域がシグネチヤ項目の領域として特定される。また、 MS— DOS (登録商標）互換ヘッダ及び MS— DOS (登録商標 )スタブが存在し、これらの大きさ力 S「Offset main part」において示された αバイトである場合、実行ファイルの先頭から 129+ αノイト目力ら 136+ αノイト目までの 8 ノ《イトの領域がシグネチヤ項目の領域として特定される。

[0067] 一般に、電子メールに添付される実行ファイルは、 base64のエンコード形式でバイナリデータ力キャラクタデータに変換されて送信される。従って、コンピュータウィルスの検出に用いられるシグネチヤは、キャラクタデータに対応するものであることが望ましい。

[0068] サーバ 100は、バイナリデータである実行ファイルにおけるシグネチヤ項目の領域の先頭位置が n+ 1バイト目であり、シグネチヤ項目の領域の大きさが mバイトである場合には、 base64形式によるエンコード処理後のキャラクタデータである実行フアイルの先頭力 nZ3 X 4の小数点以下切り捨て値に 1をカ卩えた位置のキャラクタから (n +m) Z3 X 4の小数点以下切り捨て値に 1をカ卩えた位置のキャラクタまでをシグネチャとして抽出する。

[0069] 例えば、 rimport TableJがシグネチヤ項目となる場合、 MS-DOS (登録商標）互換ヘッダ及び MS— DOS (登録商標)スタブが存在しない場合には、実行ファイルの先頭から 129バイト目の位置がシグネチヤ項目の領域の先頭位置であり、そのシグネチヤ項目の大きさは 8バイトである。従って、エンコード処理後のキャラクタデータである実行ファイルの先頭から、 128Z3 X 4の小数点以下切り捨て値に 1をカ卩えた値の位置（171バイト目）乃至（128 + 8) Z3 X 4の小数点以下切り捨て値に 1を加えた値の位置（182バイト目）の 12バイトのキャラクタがシグネチヤとなる。

[0070] 一方、 MS— DOS (登録商標）互換ヘッダ及び MS— DOS (登録商標)スタブが存在し、これらの大きさ力 S「Offset main part」において示された αバイトである場合には、実行ファイルの先頭から 129 + αバイト目の位置がシグネチヤ項目の領域の先頭位置であり、そのシグネチヤ項目の大きさは 8バイトである。従って、エンコード処理後のキャラクタデータである実行ファイルの先頭から、（128 + α ) Ζ3 Χ 4の小数点以下切り捨て値に 1をカ卩えた位置乃至（128 + a + 8) Z3 X 4の小数点以下切り捨て値に 1をカ卩えた値の位置のキャラクタがシグネチヤとなる。

[0071] シグネチヤ項目とシグネチヤの具体的な対応関係を図 5に示す。図 5は、 Klez. hゥィルスに感染したバイナリ実行ファイルの「Import Table」の内容を描いている。 n = 128 + a = 344で先頭位置が 345バイト目であって、 345ノイト目力ら 352バイト目までの 8バイト（HEX20,HEXD6 ,ΗΕΧΟΟ)が「Import TableJの内容である。

[0072] 一方、 Klez. hウィルスに感染した実行ファイルが base64形式である場合には、先頭位置力 59バイト目であって、 459ノイト目力らカら 470ノイト目までの 12バイトのキャラクタデータ（A,g, ,Α)が「Import TableJの内容となる。

[0073] 本発明者は、本実施形態により抽出されるシグネチヤを用いたコンピュータウィルスの検出実験を行った。なお、この実験では、「Import Table」を単一のシグネチヤ項目として用いた。そして、検出対象の全てのコンピュータウィルスに対して、図 4に示す手法でシグネチヤが自動抽出された。更に、検出対象となる全ての base64形式のコンピュータウィルス、及び、 base64形式のエンコード処理を行って得られた 1000 個のコンピュータウィルスでなヽ実行ファイル (一般実行ファイル)を用意して、上記で抽出したシグネチヤとのパターンマッチングが行われた。

[0074] コンピュータウィルスの検出実験の結果を図 6に示す。図 6において、コンピュータゥィルス名は、実験に用いた検出対象のコンピュータウィルスの名称であり、トレンドマイク口株式会社製のコンピュータウィルス検出ソフトウェアであるアンチウィルスにおける名称である。例えば「WORM KLEZ. H」はプレビュー感染型のコンピュータウイルス、「WORM— SOBIG. FJはメール感染型のウィルスである。また、シグネチヤ番号は、特定のコンピュータウィルスについて複数のシグネチヤが抽出される場合において各シグネチヤを識別するための番号、検出率は、シグネチヤを用いてそのシグネチヤに対応するコンピュータウィルスを検出した確率、誤検出率 (ウィルス）は、他のコンピュータウィルスをそのコンピュータウィルスであると誤って検出した確率、誤検出率（一般）は、コンピュータウィルスでない実行ファイルをそのコンピュータウィルスであると誤って検出した確率である。

[0075] 各コンピュータウィルスのうち、「WORM— HYBRIS. B」は 3種類のバリエーションが存在する。このため、ノリエーシヨンのそれぞれに対応して 3種類のシグネチヤが抽出されている。

[0076] 図 6における検出率に示すように、「WORM— HYBRIS. B」以外のコンピュータゥィルスにっ、ては、対応するシグネチヤを用いることにより確実に検出されて、る。

[0077] 一方、「WORM— HYBRIS. B」については前述のようにシグネチヤが 3種類抽出され、シグネチヤ番号 1のシグネチヤが用いられる場合には検出率が 93. 79%、シグネチヤ番号 2のシグネチヤが用いられる場合には検出率が 4. 35%、シグネチヤ番号 3のシグネチヤが用いられる場合には検出率が 1. 86%であり、これらの検出率の合計は 100%となる。この結果は、「WORM— HYBRIS. B」の 3種類のバリエーションをそれぞれ別のコンピュータウィルスとして扱い、ノリエーシヨンのそれぞれに対応して 3種類のシグネチヤが抽出されることにより、「WORM— HYBRIS. B」の全体の検出率が 100%になることを示しており、問題ではない。

[0078] また、「WORM— KLEZ. H」と「1¾— TECATA. 1761—0」については、誤検出率（ウィルス）が 0%にならなかった。し力し、この結果は、「WORM— KLEZ. H」の検出において「PE— TECATA. 1761— 0」が誤検出され、「PE— TECATA. 1 761— 0」の検出にぉぃて「WORM—KLEZ. H」が誤検出されたことを示す。これは、「WORM— KLEZ. H」に対して更に「PE— TECATA. 1761— 0」が感染した状態のコンピュータウィルスが存在することに起因する。すなわち、「WORM— KLE Z. H」であり、且つ、「PE— TECATA. 1761— 0」であるコンピュータウィルスの存在によって誤検出率 (ウィルス）が 0%にならな力つただけであり、実質的には誤検出ではない。

[0079] 更に、図 6における誤検出率（一般）は、全ての検出対象のコンピュータウィルスについて 0%であり、高い検出精度が示されている。

[0080] このように、本実施形態のコンピュータシステムでは、サーバ 100は、コンピュータゥィルスであると特定された base64形式でエンコードされた実行ファイルにおける、固有値である可能性の高、ヘッダ項目の領域をシグネチヤ項目の領域として特定し、対応したシグネチヤを自動抽出する。従って、従来のように、シグネチヤの抽出において、専門知識を有する者がコンピュータウィルスを解析し、そのコンピュータウィルスの固有情報を探し出す必要がなぐシグネチヤの抽出を迅速に行うことが可能となる。このため、コンピュータウィルス検出ソフトのメーカ等によって正式なシグネチヤが抽出されるまでの間、サーバ 100が抽出したシグネチヤを用いてコンピュータウィルスを検出することが可能となる。

[0081] また、実行ファイルのヘッダ項目は、その実行ファイルが圧縮された場合にお、ても、一意に設定されるため、本実施形態のコンピュータシステムにおいて、ヘッダ項目の領域をシグネチヤ項目の領域とすることにより、コンピュータウィルスが圧縮されていても解凍することなぐそのコンピュータウィルスを検出可能である。

[0082] また、本実施形態のコンピュータシステムにおヽて、実行ファイルのヘッダ項目、特に「Import Table」がシグネチヤ項目として用いられることにより、コンピュータウィルスの検出において以下のような利点を有する。

[0083] 具体的には、 import Table」は、「address」と「size」の 2項目からなり、一例としてそれぞれ実行ファイルにおける idataセクションと称される領域内にあるインポート · ディレクトリ 'テーブルのアドレスとサイズとを表している。更に、このインポート 'ディレクトリ'テーブルは、 PE形式の実行ファイルの動作に欠かせない DLL (Dynamic Link Library)に関する情報を扱う部分である。このため、「Import Table」の内容が改竄されると、実行ファイルが動作しなくなる可能性が高い。

[0084] すなわち、仮に、コンピュータウィルスが検出を逃れるために「Import Table」の内容を変更したとしても、その変更によりコンピュータウィルスは動作不能となる可能性が高いため、コンピュータウィルスによる被害は阻止される。 [0085] また、本実施形態のコンピュータシステムにより、実行可能圧縮が施されたコンビュータウィルスについても検出可能であることが、本発明者の実験により確認された。この実験では、前述と同様、 rimport Table」がシグネチヤ項目として用いられた。そして、検出対象の全てのコンピュータウィルスに対して、図 4に示す手法でシグネチヤが自動抽出された。

[0086] 実行可能圧縮が施されたコンピュータウィルスの検出実験の結果を図 7に示す。図 7において、コンピュータウイノレス名は、実験に用いた検出対象のコンピュータウィルスの名称であり、トレンドマイクロ株式会社製のコンピュータウィルス検出ソフトウェアであるアンチウィルスにおける名称である。また、シグネチヤの番号 (No. )は、特定のコンピュータウィルスについて複数のシグネチヤが抽出される場合において各シグネチヤを識別するための番号、オフセット（offset)は、コンピュータウィルスのファイルの先頭からシグネチヤに用いたヘッダ項目である「Import TableJまでのオフセット値、「Import Table」のアドレス（address)及びサイズ（size)は、それぞれコンビュータウィルスのファイルにおけるインポート 'ディレクトリ 'テーブルのアドレスとサイズ、検出率は、シグネチヤを用ヽてそのシグネチヤに対応するコンピュータウィルスを検出した確率、誤検出率（ウィルス）は、他のコンピュータウィルスをそのコンピュータウイルスであると誤って検出した確率、誤検出率 (一般実行ファイル '圧縮）は、コンビュータウィルスでな、一般の実行ファイルであって、当該コンピュータウィルスと同一の圧縮形式により圧縮したもの（圧縮一般実行ファイル)をそのコンピュータウィルスであると誤って検出した確率、誤検出率 (一般実行ファイル ·無圧縮）は、コンピュータゥィルスでな、無圧縮形式の実行ファイル (無圧縮一般実行ファイル)をそのコンビユータウィルスであると誤つて検出した確率である。

[0087] 図 7における検出率に示すように、「Netsky. P」、「Netsky. C」、「Bagle. AD」及び「Bagle. AI」以外のコンピュータウィルスについては、対応するシグネチヤを用いることにより確実に検出されて、る。

[0088] 一方、「Netsky. PJについては、シグネチヤが 2種類抽出され、シグネチヤ番号 1 のシグネチヤが用いられる場合には検出率が 0. 10%、シグネチヤ番号 2のシグネチャが用いられる場合には検出率が 99. 90%であり、これらの検出率の合計は 100% となる。この結果は、「Netsky. P」の 2種類のバリエーションをそれぞれ別のコンビュータウィルスとして扱!、、ノリエーシヨンのそれぞれに対応して 2種類のシグネチヤが抽出されることにより、「Netsky. P」の全体の検出率が 100%になることを示しており、問題ではない。「Netsky. C」、「Bagle. AD」及び「Bagle. AI」についても同様であり、 2種類のバリエーションをそれぞれ別のコンピュータウィルスとして扱い、ノリエーシヨンのそれぞれに対応して 2種類のシグネチヤが抽出されることにより、全体の検出率が 100%になる。この結果は、「Import Table」の内容は、各コンピュータウイルスにノリエーシヨンが存在する場合に、そのバリエーション毎に固有であり、必要最小限のシグネチヤしか生成されな、ことを示して、る。

[0089] また、「Plexus.：^と^^ !^. G」の検出では、それぞれ別のコンピュータウィルスを誤検出しているが、実験に使用したコンピュータウィルス検出ソフトウェアでは、誤検出されたコンピュータウィルスは、「Plexus. B」と「Plexus. G」と同一であると定義されているため、実質的には誤検出ではない。

[0090] また、コンピュータウィルスの圧縮形式がその一種である tElock以外である場合には、一般実行ファイルが圧縮されているか否かに関わらず、その一般実行ファイルをコンピュータウィルスであると誤検出する確率は 0%であることが確かめられた。一方、コンピュータウィルスの圧縮形式が tElockである場合には、一般圧縮実行ファイルをコンピュータウィルスであると誤検出する場合がある（図 7の「Sobig. A」、 rsobig. E 」及び「Sobig. F」）が、誤検出率は低ぐ非常用の検出フィルタとしては実用の範囲内である。

[0091] ところで、実行可能圧縮では、圧縮ソフトのバージョンや圧縮時のオプションにより、ヘッダの内容が変化する。図 7では、「Netsky. J」は tElockのバージョン 0. 71を使用して圧縮されており、その他のコンピュータウィルスは tElockのバージョン 0. 98を使用して圧縮されている。この結果は、一般実行ファイルとコンピュータウィルスの「I mport Table」の内容が一致するためには、圧縮形式が同一であることのみならず、圧縮ソフトのバージョンが同一であり、更に圧縮ソフトの実行において指定される各種のオプションも同一でなければならないことを示している。従って、圧縮形式が同一であっても、一般実行ファイルとコンピュータウィルスの「Import Table」が一致する確率、換言すれば、一般実行ファイルをコンピュータウィルスであると誤検出する確率は、非常に低いと考えられる。

[0092] なお、前述した実施形態では、主に「Import TableJをシグネチヤ項目としたが、実行ファイル間で一致する確率の低、他のヘッダ項目をシグネチヤ項目としても良い。

[0093] また、前述した実施形態では、サーバ 100がシグネチヤを抽出した力ノソコン 300 及び 310がそれぞれシグネチヤを抽出して、コンピュータウィルスの検出に用いるようにしても良い。

産業上の利用可能性

[0094] 以上のように、本発明にかかるコンピュータウィルス固有情報抽出装置、コンビユータウィルス固有情報抽出方法及びコンピュータウィルス固有情報抽出プログラムは、コンピュータウィルス固有情報の抽出を迅速に行うことが可能となるという効果を有し、コンピュータウィルス固有情報抽出装置、コンピュータウィルス固有情報抽出方法及びコンピュータウィルス固有情報抽出プログラムとして有用である。

Claims

請求の範囲

[1] コンピュータウィルスの検出に用いられるコンピュータウィルス固有情報を抽出するコンピュータウィルス固有情報抽出装置であって、

コンピュータウィルスであると特定された実行ファイルを取得する取得手段と、実行ファイルにおいて固有であるとみなし得る情報の格納領域であると予め決められた特定領域に含まれる情報を、前記取得手段により取得された実行ファイル力ゝらコンピュータウィルス固有情報として抽出する抽出手段とを有することを特徴とするコンピュータウィルス固有情報抽出装置。

[2] 前記特定領域は、複数の実行ファイル間で一致する確率が所定値以下となる情報の格納領域であることを特徴とする請求項 1に記載のコンピュータウィルス固有情報抽出装置。

[3] 前記抽出手段は、前記実行ファイルが前記特定領域より前にオフセット領域を含む場合に、前記オフセット領域のオフセット値に基づいて、前記実行ファイルにおける特定領域の先頭位置を特定することを特徴とする請求項 1又は 2に記載のコンビユータウィルス固有情報抽出装置。

[4] 前記特定領域は、前記実行ファイルにおけるヘッダ領域の一部であることを特徴とする請求項 1乃至 3のいずれかに記載のコンピュータウィルス固有情報抽出装置。

[5] 前記取得手段は、電子メールで転送されるエンコード形式の実行ファイルを取得するとともに、前記抽出手段は、前記取得手段により取得されたエンコード形式の実行ファイルにおける特定領域の情報をコンピュータウィルス固有情報として抽出することを特徴とする請求項 1乃至 4のいずれかに記載のコンピュータウィルス固有情報抽出装置。

[6] 前記取得手段及び前記抽出手段は、 base64のエンコード形式でエンコードされた実行ファイルを扱うことを特徴とする請求項 5に記載のコンピュータウィルス固有情報抽出装置。

[7] 前記抽出手段は、前記エンコード形式の実行ファイルに対応したエンコード前の実行ファイルにお、て固有であるとみなし得る情報の格納領域の先頭位置が n+ 1バイト目であり、大きさが mバイトである場合に、前記エンコード形式の実行ファイルの先頭力 nZ3 X 4の小数点以下切り捨て値に 1をカ卩えた値の位置の第 1のキャラクタから（n+m) Z3 X 4の小数点以下切り捨て値に 1をカ卩えた値の位置の第 2のキャラクタまでの領域を前記特定領域とし、前記第 1のキャラクタ力前記第 2のキャラクタまでのキャラクタ列をコンピュータウィルス固有情報として抽出することを特徴とする請求項 6に記載のコンピュータウィルス固有情報抽出装置。

[8] 前記抽出手段は、抽出したコンピュータウィルス固有情報を複数組み合わせて、新たなコンピュータウィルス固有情報とすることを特徴とする請求項 1乃至 7のいずれかに記載のコンピュータウィルス固有情報抽出装置。

[9] 前記実行ファイルは、所定の実行可能圧縮形式で圧縮された実行ファイルであることを特徴とする請求項 1乃至 8のいずれかに記載のコンピュータウィルス固有情報抽出装置。

[10] 前記実行ファイルは、 PE形式であることを特徴とする請求項 9に記載のコンピュータウィルス固有情報抽出装置。

[11] コンピュータウィルスの検出に用いられるコンピュータウィルス固有情報を抽出するコンピュータウィルス固有情報抽出装置におけるコンピュータウィルス固有情報抽出方法であって、

コンピュータウィルスであると特定された実行ファイルを取得する取得ステップと、実行ファイルにおいて固有であるとみなし得る情報の格納領域であると予め決められた特定領域に含まれる情報を、前記取得手段により取得された実行ファイル力ゝらコンピュータウィルス固有情報として抽出する抽出ステップとを有することを特徴とするコンピュータウィルス固有情報抽出方法。

[12] 前記特定領域は、複数の実行ファイル間で一致する確率が所定値以下となる情報の格納領域であることを特徴とする請求項 11に記載のコンピュータウィルス固有情報抽出方法。

[13] 前記抽出ステップは、前記実行ファイルが前記特定領域より前にオフセット領域を含む場合に、前記オフセット領域のオフセット値に基づいて、前記実行ファイルにおける特定領域の先頭位置を特定することを特徴とする請求項 11又は 12に記載のコンピュータウィルス固有情報抽出方法。

[14] 前記特定領域は、前記実行ファイルにおけるヘッダ領域の一部であることを特徴とする請求項 11乃至 13のいずれかに記載のコンピュータウィルス固有情報抽出方法。

[15] 前記取得ステップは、電子メールで転送されるエンコード形式の実行ファイルを取得するとともに、前記抽出ステップは、前記取得ステップにより取得されたエンコード形式の実行ファイルにおける特定領域の情報をコンピュータウィルス固有情報として抽出することを特徴とする請求項 11乃至 14のいずれかに記載のコンピュータウィルス固有情報抽出方法。

[16] 前記取得ステップ及び前記抽出ステップは、 base64のエンコード形式でエンコードされた実行ファイルを扱うことを特徴とする請求項 15に記載のコンピュータウィルス固有情報抽出方法。

[17] 前記抽出ステップは、前記エンコード形式の実行ファイルに対応したエンコード前の実行ファイルにお、て固有であるとみなし得る情報の格納領域の先頭位置力 + 1 ノイト目であり、大きさが mバイトである場合に、前記エンコード形式の実行ファイルの先頭力 nZ3 X 4の小数点以下切り捨て値に 1をカ卩えた値の位置の第 1のキャラクタ力 (n+m) Z3 X 4の小数点以下切り捨て値に 1を加えた値の位置の第 2のキャラクタまでの領域を前記特定領域とし、前記第 1のキャラクタから前記第 2のキャラクタまでのキャラクタ列をコンピュータウィルス固有情報として抽出することを特徴とする請求項 16に記載のコンピュータウィルス固有情報抽出方法。

[18] 前記抽出ステップは、抽出したコンピュータウィルス固有情報を複数組み合わせて、新たなコンピュータウィルス固有情報とすることを特徴とする請求項 11乃至 17のいずれかに記載のコンピュータウィルス固有情報抽出方法。

[19] 前記実行ファイルは、所定の実行可能圧縮形式で圧縮された実行ファイルであることを特徴とする請求項 11乃至 18に記載のコンピュータウィルス固有情報抽出方法。

[20] 前記実行ファイルは、 PE形式であることを特徴とする請求項 19に記載のコンビユータウィルス固有情報抽出方法。

[21] コンピュータウィルスの検出に用いられるコンピュータウィルス固有情報を抽出するコンピュータウィルス固有情報抽出装置において実行されるコンピュータウィルス固有情報抽出プログラムであって、コンピュータウィルスであると特定された実行ファイルを取得する取得ステップと、実行ファイルにおいて固有であるとみなし得る情報の格納領域であると予め決められた特定領域に含まれる情報を、前記取得手段により取得された実行ファイル力ゝらコンピュータウィルス固有情報として抽出する抽出ステップとを有することを特徴とするコンピュータウィルス固有情報抽出プログラム。

[22] 前記特定領域は、複数の実行ファイル間で一致する確率が所定値以下となる情報の格納領域であることを特徴とする請求項 21に記載のコンピュータウィルス固有情報抽出プログラム。

[23] 前記抽出ステップは、前記実行ファイルが前記特定領域より前にオフセット領域を含む場合に、前記オフセット領域のオフセット値に基づいて、前記実行ファイルにおける特定領域の先頭位置を特定することを特徴とする請求項 21又は 22に記載のコンピュータウィルス固有情報抽出プログラム。

[24] 前記特定領域は、前記実行ファイルにおけるヘッダ領域の一部であることを特徴とする請求項 21乃至 23のいずれかに記載のコンピュータウィルス固有情報抽出プロダラム。

[25] 前記取得ステップは、電子メールで転送されるエンコード形式の実行ファイルを取得するとともに、前記抽出ステップは、前記取得ステップにより取得されたエンコード形式の実行ファイルにおける特定領域の情報をコンピュータウィルス固有情報として抽出することを特徴とする請求項 21乃至 24のいずれかに記載のコンピュータウィルス固有情報抽出プログラム。

[26] 前記取得ステップ及び前記抽出ステップは、 base64のエンコード形式でエンコードされた実行ファイルを扱うことを特徴とする請求項 25に記載のコンピュータウィルス固有情報抽出プログラム。

[27] 前記抽出ステップは、前記エンコード形式の実行ファイルに対応したエンコード前の実行ファイルにお、て固有であるとみなし得る情報の格納領域の先頭位置力 + 1 ノイト目であり、大きさが mバイトである場合に、前記エンコード形式の実行ファイルの先頭力 nZ3 X 4の小数点以下切り捨て値に 1をカ卩えた値の位置の第 1のキャラクタ力 (n+m) Z3 X 4の小数点以下切り捨て値に 1を加えた値の位置の第 2のキャラクタまでの領域を前記特定領域とし、前記第 1のキャラクタから前記第 2のキャラクタまでのキャラクタ列をコンピュータウィルス固有情報として抽出することを特徴とする請求項 26に記載のコンピュータウィルス固有情報抽出プログラム。

[28] 前記抽出ステップは、抽出したコンピュータウィルス固有情報を複数組み合わせて、新たなコンピュータウィルス固有情報とすることを特徴とする請求項 21乃至 27のいずれかに記載のコンピュータウィルス固有情報抽出プログラム。

[29] 前記実行ファイルは、所定の実行可能圧縮形式で圧縮された実行ファイルであることを特徴とする請求項 21乃至 28に記載のコンピュータウィルス固有情報抽出プロダラム。

[30] 前記実行ファイルは、 PE形式であることを特徴とする請求項 29に記載のコンビユータウィルス固有情報抽出プログラム。