特許

J-GLOBAL ID：200903023091683496

マクロと実行可能なスクリプトにおいてマルウェアを検出する方法およびシステム

発明者： シップ,アレクサンダー
出願人/特許権者： メッセージラブス リミティド
代理人 (6件)： 青木 篤 ,  鶴田 準一 ,  島田 哲郎 ,  倉地 保幸 ,  下道 晶久 ,  西山 雅也
公報種別：公表公報
出願番号（国際出願番号）：特願2006-505883
公開番号（公開出願番号）：特表2006-522395
出願日： 2004年01月19日
公開日（公表日）： 2006年09月28日
要約：

マルウェア(悪意のある破壊工作ソフト)対策用として、ファイルを走査するシステムは、スクリプトおよびマクロからなるファイルを処理する手段と、走査したファイルに対して、ファイルのソースコードの自動解析に基づいて疑わしいとみなすフラグまたは疑わしくないとみなすフラグのいずれかをたてる手段とを具備する。上記システムによる自動解析は、プログラムソースを、コメント、変数名およびルーチン名のような部分のグループに分離することと、上記部分の繰り返し部分を除去することと、結果として得られる一連の文字列からなる文字の発生頻度分布を求めることとを含む。また、上記システムは、走査中のファイルが除外リストに存在する場合には当該ファイルを疑わしいものとしてフラグを立てないようにするために使用される、除外リストを具備する。

請求項（抜粋）：

マルウェアを検出するために、所定のコンピュータ言語からなるコンピュータプログラムのソースコードを含むコンピュータ用ファイルを走査するシステムにおいて、 前記コンピュータプログラムの各種の構造部分に対応させて、前記ソースコードを構成部分のグループ毎に分離する手段と、 前記グループ毎に分離された各々の前記構成部分における文字の発生頻度分布を得るために、各々の前記構成部分にて文字集合体の文字の発生する回数をカウントする処理を行う手段と、 各々の前記構成部分における文字の発生頻度分布と、予測される文字の発生頻度分布の範囲とを比較する手段と、 前記の比較する手段による1つまたは複数の比較結果に応じて、前記コンピュータ用ファイルに対し、疑わしいとみなすフラグまたは疑わしくないとみなすフラグのいずれかをたてる手段とを具備することを特徴する、コンピュータ用ファイルを走査するシステム。

IPC (1件)：

G06F 21/22

FI (1件)：

G06F9/06 660N

Fターム (1件)：

5B276FD08

引用文献：

審査官引用 (1件)

• A Toolkit Detecting and Analyzing Malicious Software