マカフィー株式会社 公式ブログ

McAfee Labs] 2010年6月25日 更新

見た目と異なるマルウェア

 

サイバー犯罪者の間では、ソーシャルエンジニアリング攻撃など既に常識化しており、また騙されやすいユーザーが、ウイルス作者の使う様々な手口に引っかかる状況もよく知られています。セキュリティの研究に取り組んでいるMcAfee Labsでは、このような犯罪の被害者にならない対策について、繰り返し喚起を促しています。その一方で、セキュリティ研究者自身もより正確にマルウェアを判断するために、様々な対策を駆使して分析する必要があります。マルウェアに対する経験が豊富な研究者は、サンプルを見ただけで直観的に、ソフトウェアが良性か悪性なのか判断することができます。その一方で、直観とは異なる場合もあります。今回はそのような事例を、いくつか紹介しましょう。

マルウェアを分析する際に、作者の書いたメモを見つけることもあります。メモの内容は、からかうような文章であることもあれば、中には「このソフトウェアはウイルスではないので、マルウェア検出ファイル用に登録しないでください」という誤検出を避けてもらうための研究者向けメッセージの場合もあります。このような口頭以外の手段で伝えられたメッセージは、よく確認した方が良いでしょう。

マルウェア作者が埋め込んだ文章

メッセージの書き手とサンプルの作者が同一人物であるように思えるという事実は別にして、技術的な観点から、メッセージの内容は正しいと言えます。確かにこのサンプルはウイルスではありません。ただ、ダウンローダとして機能するトロイの木馬であり、リモートサイトから密かに任意のファイルをダウンロードし、実行します。なお、マカフィー製品では、いずれのサンプルも「Generic.acf」として検出します。

二つ目のサンプルは、少しだけ魅力的なものでした。研究者は、サンプルを調べる際に、「Hiew」などのツールでファイルを開く「静的分析」、およびサンプルの動きを模倣する「動的分析」という2種類の手法をよく使用します。このサンプルをHiewで開いたところ、リソース部分が異常で、正しくデータインポートできないことが判明しました。

異常なリソース

このエラーをやり過ごすと、ヘッダー内のエントリポイント(EP:Entry point)が「0001A001」で、イメージベース(Image base)が「00400000」であることが分かりました。この状況であれば、Hiewは「0041A001」番地にあるEPにアクセスできたはずです。しかし実際には、ファイルは0041A001よりも手前の「00410DFF」で終わっており、HiewはEPに到達できません。

EPの値が記載されたヘッダー情報

このファイルは壊れており、これ以上の分析は続行不可能と思われます。しかし、Windowsのプログラムローダーは間違いなくファイル読み込みに失敗するでしょうが、単にサンプルを実行しようとすると魔法のように動くのです。非常に怪しい状態なので、基本的な情報から見直してみるため、再びHiewで開き、セクションヘッダーを詳しく調べてみました。

セクションテーブルの内容

セクションテーブルには、きちんと表示できるものの非常に怪しいセクションが10個ありました。そのいくつかは物理サイズがゼロであり、残りはオーバーラップしていて、きちんと表示ができました。結果的には、このサンプルの作者は、先頭二つのセクションの物理サイズを「FF003000」と「FF000200」に、それぞれ仮想サイズを「3000」と「1000」に変えていたのです。セクションのサイズを「00003000」と「00000200」に変更するパッチを使用することで、Hiewで起きていたEPにアクセスできない問題を解消し、正しいEPに到達できるようになります。

ただし、逆アセンブラの「IDA」もこのファイルをロードできず、以下のようにエラー「Virtual Array:Address space limit reached(仮想配列:アドレス制限に到達)」を出して黙ってしまいました。

IDAの出したエラー

別の「Olly」というツールでは,「セクションサイズが大きい」と指摘されますが、問題なくロードできます。

作者はセクションテーブルに細工することにより、ソーシャルエンジニアリングを仕掛けようとしています。さらに、特定のウイルス対策ソフトにファイルロードを失敗させる目的もあるかもしれません。

今回の例から、直観に左右されずに、一つのツールだけでマルウェアを判断してはいけない、ということが言えるでしょう。なお、マカフィーのセキュリティ製品はこのファイルを「Spy-Agent.dp.gen」として検出します。

Also Find Us On

マカフィーは、インテルコーポレーション(NASDAQ:INTC)の完全子会社であり、企業、官公庁・自治体、個人ユーザーが安全にインターネットの恩恵を享受できるよう、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評のあるセキュリティソリューションやサービスを提供しています。詳しくは、http://www.mcafee.com/jp/をご覧ください。

 

Copyright © 2003-2014 McAfee, Inc. All Rights Reserved.