ヘルプファイルに感染する新種のマルウェアに要注意

※本記事は、McAfee Labs 東京 アンチマルウェアリサーチ 主任研究員 本城信輔によるものです。

McAfee Labsでは、通常のやり方ではなく、まったく新しいやり方で感染を隠そうとするマルウェアを発見しました。「Muster.e」と呼ばれるこの新種のマルウェアは、既存のヘルプファイルに感染し、ヘルプファイルの中にバックドアを隠すという手口により、ユーザーの目を巧妙に欺きます。今回はこの「Muster.e」について取り上げます。

「Muster」はヘルプファイルを使って自分自身を隠すバックドア・ファミリーです。ヘルプファイル(「.hlp」ファイル)はマイクロソフト社のWinHelpブラウザ用のデータファイルで、アプリケーションのユーザーにオンラインヘルプを表示するために利用されます。これまでの「Muster」の亜種は、エンコードされたメインのバックドアコンポーネントのファイル名に拡張子「.hlp」が付けられていました。これらの「.hlp」ファイルが、のちにマイクロソフト社のCryptAPIで、ハードコード化された鍵を使って復号処理され、別のロードを担当するコンポーネントによって実行されるという仕組みです。

ところが新種の「Muster.e」は、ヘルプファイルを別の形で利用します。「Muster.e」は、インストールされると、「imepaden.hlp」と呼ばれる既存のヘルプファイルに感染します。「imepaden.hlp」はマイクロソフト社のIME用のヘルプファイルの1つです。もちろん、感染後のヘルプファイルも、オリジナルのヘルプファイルとまったく変わらず、WinHelpブラウザで表示できるので、表示画面を見てユーザーが感染に気づくことはまずありません。

では、マシンを起動するとこれはどのようにアクティベートされるのでしょうか?Muster.eはあるsysファイルをドロップしますが、これは再起動のたびにサービスとしてロードされます。このsysファイルは、感染したヘルプファイルから付着した実行ファイルを取り出し、それを「upgraderUI.exe」と呼ばれる単体の実行ファイルにコピーします。また、このファイルは、レジストリキー「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run AutoPatch」に関連づけられています。これによってユーザーは、このファイルが何かシステムのアップデート関連のツールであると信じるようになる、というわけです。さらに、sysファイルも、ユーザーの目を欺くよう巧妙に仕組まれています。

上図からわかるとおり、このsysファイルには「MyDDKDevice」や「HelloDDK」という文字列があります。それに加え、同ファイルは、様々なデバッグメッセージを出力するよう設計されており、そのことから、ビギナー向けのデバイスドライバプログラミングのガイドブックにあるサンプルコードから編集したような、通常のテストsysファイルに見えます。実際、これらの文字列を検索してみると、デバイスドライバプログラミングについて書かれたWebページが多数ヒットするはずです。sysファイルが、なぜこのように設計されているのかを推測するのは困難です。しかし、ヘルプファイルの中にバックドアを隠すという巧妙な手口から考えると、はじめからsysファイルを作るのが面倒でこのようなことをしたわけではなく、いかにも無害に見せかけるためにユーザーを欺いている可能性の方が高いと考えられます。

マルウェア作者の意図としては、以下のシナリオが考えられます。まず、ユーザーはこの不審なファイル「UpgraderUI.exe」とレジストリキーの存在に気づきます。次にユーザーは、そのファイルとレジストリキーを削除し、同時にバックドアもうまく削除できたと考えます。たとえユーザーが再起動のたびに問題のファイルとレジストリキーが復活することに気がついても、それ以外の不審なファイルを見つけ出すことは非常に困難でしょう。なぜなら、sysファイルそのものが悪意あるファイルであることや、「imepaden.hlp」ファイルが感染しているなどとは予想しないから、というものです。

このような手口が本当に機能するのかどうかはわかりません。しかし、自分のマシンが感染している可能性がある場合は、ヘルプファイルもチェックリストに加えたほうがいいでしょう。ウイルス定義ファイル5861かそれ以降のMcAfee VirusScanであれば、このように感染したヘルプファイルおよびバックドアファイルも検出して駆除することができます。

関連情報

※本ページの内容はMcAfee Blogの抄訳です。
原文:Be careful on help files

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。