マルウェア解析・検知ツール
YARAは、マルウェア解析・検知ツールで、Virustotalの開発者Victor Alvarezによって開発された、とWikiに記載がある。
たまに見かけるので、気になっていた。
YARAという単語自体は、
"YARA: Another Recursive Acronym(YARA、もう一つの再帰略語)"
"Yet Another Ridiculous Acronym(さらにもう一つのばかげた略語)"
の略語で、大きな意味は無いらしい。
公式サイトを見ると、Who's using YARA ということで、いろんな会社が使用していることが分かる。
YARAの使い方
『YARAルール』という文字列と条件、条件演算子、正規表現などを用いて、
マルウェアのファミリーの記述を作成し、"yara"コマンドで
# yara [OPTION]... [RULEFILE]... FILE | PID
とすることで、ルールに沿ってFILE or PIDからマルウェアを検出します。
security.sios.comから引用。
YARAルールの初歩的な意味はこちらのサイトが分かりやすい。
Deep Discovery Analyzerという製品ではYARAルールを独自に記述してマルウェアの検出の根拠とするようです。
すべて自分でルールを記述するのか、という訳でもなく、ESETはルールファイルを公開していて、YARAルールがマルウェア検知の共通基盤のようになっている。
YARAをテストする際に役立つファイル。
記載されているのは、こんな文字列だけ。
それでもウイルス対策ソフトでは、怪しいファイルとして削除されてしまいます。
各ウイルス対策ソフトのベンダーは、YARAによる検出などを組み合わせて、製品を構成しているんだろうか。