「メモ帳」を改ざんし、リムーバブルメディア経由で感染するウイルス

Windowsの自動実行ファイル「autorun.inf」を感染手段として使用するマルウェアが、ここ数年増加しており、被害を拡大させています。この手口は、以前から自動実行ワームが悪用していました。しかし、現在では実行ファイルをクリックしないと感染できなかったはずの単純なバックドアやボット、パスワード不正取得プログラム、さらには寄生型ウイルスまで使用されるようになりました。自動実行機能はユーザーのクリック回数を減らせるため、便利な機能です。その一方で、人手を介して伝染する1980年代のマルウェア感染モデルを復活させてしまった、と言えるでしょう。

この感染手法を取り入れた寄生型ウイルスの主要なものとして、「W32/Sality」と「W32/Virut」の2種類があげられます。両ウイルスには、様々な亜種が存在しています。W32/Salityの感染は、リムーバブルメディア経由で広がります。ユーザーがW32/Salityに感染済みのパソコンにリムーバブルメディアを接続すると、パソコン内の「メモ帳(notepad.exe)」か「マインスイーパ(winmine.exe)」にW32/Salityが入り込み、これらファイルがリムーバブルメディアへコピーされます。W32/Sality入りnotepad.exeとwinmine.exeは、ランダムな文字列と「.pif」または「.scr」という拡張子を組み合わせた新たなファイル名に変更されます。さらに、難読化したautorun.infもペアで作成されます。以下にW32/Salityの一部コードとペアのautorun.infを掲載します。

W32/Salityのコード

ペアで作成されたautorun.inf

リムーバブルメディアからウイルスを除去しても、新たなファイル名を与えられた実行ファイルは残ります。そのままの状態では実害はありませんが、ユーザーは元々どのようなファイルであったか混乱するでしょう。また拡張子は、MS-DOSアプリケーション用の.pifやスクリーンセーバー用の.scrを使用されています。 W32/Virutも、リムーバブルメディアに感染済みのメモ帳をコピーします。W32/Salityと同じく、ファイルはウイルス除去後もしつこく残ってしまいます。このように、マルウェアは自動実行機能を悪用することにより、除去されても効果的な感染能力を維持することが可能になります。

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。