見た目と異なるマルウェア

脅威情報
2010.6.25
更新日：2018.3.15

サイバー犯罪者の間では、ソーシャルエンジニアリング攻撃など既に常識化しており、また騙されやすいユーザーが、ウイルス作者の使う様々な手口に引っかかる状況もよく知られています。セキュリティの研究に取り組んでいるMcAfee Labsでは、このような犯罪の被害者にならない対策について、繰り返し喚起を促しています。その一方で、セキュリティ研究者自身もより正確にマルウェアを判断するために、様々な対策を駆使して分析する必要があります。マルウェアに対する経験が豊富な研究者は、サンプルを見ただけで直観的に、ソフトウェアが良性か悪性なのか判断することができます。その一方で、直観とは異なる場合もあります。今回はそのような事例を、いくつか紹介しましょう。

マルウェアを分析する際に、作者の書いたメモを見つけることもあります。メモの内容は、からかうような文章であることもあれば、中には「このソフトウェアはウイルスではないので、マルウェア検出ファイル用に登録しないでください」という誤検出を避けてもらうための研究者向けメッセージの場合もあります。このような口頭以外の手段で伝えられたメッセージは、よく確認した方が良いでしょう。

マルウェア作者が埋め込んだ文章

メッセージの書き手とサンプルの作者が同一人物であるように思えるという事実は別にして、技術的な観点から、メッセージの内容は正しいと言えます。確かにこのサンプルはウイルスではありません。ただ、ダウンローダとして機能するトロイの木馬であり、リモートサイトから密かに任意のファイルをダウンロードし、実行します。なお、マカフィー製品では、いずれのサンプルも「Generic.acf」として検出します。

二つ目のサンプルは、少しだけ魅力的なものでした。研究者は、サンプルを調べる際に、「Hiew」などのツールでファイルを開く「静的分析」、およびサンプルの動きを模倣する「動的分析」という2種類の手法をよく使用します。このサンプルをHiewで開いたところ、リソース部分が異常で、正しくデータインポートできないことが判明しました。

異常なリソース

このエラーをやり過ごすと、ヘッダー内のエントリポイント（EP：Entry point）が「0001A001」で、イメージベース（Image base）が「00400000」であることが分かりました。この状況であれば、Hiewは「0041A001」番地にあるEPにアクセスできたはずです。しかし実際には、ファイルは0041A001よりも手前の「00410DFF」で終わっており、HiewはEPに到達できません。

EPの値が記載されたヘッダー情報

このファイルは壊れており、これ以上の分析は続行不可能と思われます。しかし、Windowsのプログラムローダーは間違いなくファイル読み込みに失敗するでしょうが、単にサンプルを実行しようとすると魔法のように動くのです。非常に怪しい状態なので、基本的な情報から見直してみるため、再びHiewで開き、セクションヘッダーを詳しく調べてみました。

セクションテーブルの内容

セクションテーブルには、きちんと表示できるものの非常に怪しいセクションが10個ありました。そのいくつかは物理サイズがゼロであり、残りはオーバーラップしていて、きちんと表示ができました。結果的には、このサンプルの作者は、先頭二つのセクションの物理サイズを「FF003000」と「FF000200」に、それぞれ仮想サイズを「3000」と「1000」に変えていたのです。セクションのサイズを「00003000」と「00000200」に変更するパッチを使用することで、Hiewで起きていたEPにアクセスできない問題を解消し、正しいEPに到達できるようになります。

ただし、逆アセンブラの「IDA」もこのファイルをロードできず、以下のようにエラー「Virtual Array：Address space limit reached（仮想配列：アドレス制限に到達）」を出して黙ってしまいました。

IDAの出したエラー