偽ウイルス対策ソフトの検出回避策

これまでMcAfee Blogで何度か取り上げてきましたように、インターネット上には、スケアウェアと呼ばれる偽ウイルス対策ソフトが蔓延しています。この種のトロイの木馬は、ドライブバイ・ダウンロードや検索エンジン最適化(SEO)ポイズニング、スパムキャンペーン、悪質なソーシャルエンジニアリングといった手口を多く使用しています。今回は、感染手口ではなく、偽ウイルス対策ソフトがウイルス対策ベンダーからの検出を避けるために採用している回避策について、詳しく解説をします。

無意味な命令挿入で難読化したコード

上記スクリーンショットは、意味のある命令の間に大量の無駄なコードが挿入した例です。意味のない命令を入れる手口は、多くの偽ウイルス対策ソフトで使用されています。

不必要なAPIの呼び出し

上記スクリーンショットは、このコードで必要のないAPI「SetArcDirection」を呼び出した例です。不必要なAPIは、解析などを目的とするエミュレーションの対抗手段として、マルウェアが使用しています。マルウェアの中には、エミュレーションされているかどうかを確認するために存在しないAPIを呼び出すものもあります。

専用パッカー

偽ウイルス対策ソフトの多くは、専用パッカー(暗号化ルーチン)を使用しています。既存のパッカーを改造して使うマルウェアもあります。

XMMレジスタとMMX命令セットの使用

偽ウイルス対策ソフトの多くは、コード内では必要ないXMMレジスタやMMX命令セット、浮動小数点演算プロセッサ(FPU)命令セットを、他の無意味なコードとともに使用しています。

今回紹介した回避策は、特別に新しいものではなく、よく知られたマルウェアで使用されています。偽ウイルス対策ソフトは、持っている能力を最大限発揮させる目的で、亜種を作るごとに、この種の防衛策を使用します。アドウェアとスパイウェアが減少傾向にある状況の中で、偽ウイルス対策ソフト系トロイがインターネット界の悪者と呼ぶべき存在となってきている、と言えるでしょう。

関連記事

関連情報

※本ページの内容はMcAfee Blogの抄訳です。
原文:Rebranded Rogue Anti-Virus Strikes Again

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速