※本記事は、McAfee Labs 東京 アンチマルウェアリサーチ 主任研究員 本城信輔によるものです。
McAfee Labsでは、通常のやり方ではなく、まったく新しいやり方で感染を隠そうとするマルウェアを発見しました。「Muster.e」と呼ばれるこの新種のマルウェアは、既存のヘルプファイルに感染し、ヘルプファイルの中にバックドアを隠すという手口により、ユーザーの目を巧妙に欺きます。今回はこの「Muster.e」について取り上げます。
「Muster」はヘルプファイルを使って自分自身を隠すバックドア・ファミリーです。ヘルプファイル(「.hlp」ファイル)はマイクロソフト社のWinHelpブラウザ用のデータファイルで、アプリケーションのユーザーにオンラインヘルプを表示するために利用されます。これまでの「Muster」の亜種は、エンコードされたメインのバックドアコンポーネントのファイル名に拡張子「.hlp」が付けられていました。これらの「.hlp」ファイルが、のちにマイクロソフト社のCryptAPIで、ハードコード化された鍵を使って復号処理され、別のロードを担当するコンポーネントによって実行されるという仕組みです。
ところが新種の「Muster.e」は、ヘルプファイルを別の形で利用します。「Muster.e」は、インストールされると、「imepaden.hlp」と呼ばれる既存のヘルプファイルに感染します。「imepaden.hlp」はマイクロソフト社のIME用のヘルプファイルの1つです。もちろん、感染後のヘルプファイルも、オリジナルのヘルプファイルとまったく変わらず、WinHelpブラウザで表示できるので、表示画面を見てユーザーが感染に気づくことはまずありません。
では、マシンを起動するとこれはどのようにアクティベートされるのでしょうか?Muster.eはあるsysファイルをドロップしますが、これは再起動のたびにサービスとしてロードされます。このsysファイルは、感染したヘルプファイルから付着した実行ファイルを取り出し、それを「upgraderUI.exe」と呼ばれる単体の実行ファイルにコピーします。また、このファイルは、レジストリキー「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run AutoPatch」に関連づけられています。これによってユーザーは、このファイルが何かシステムのアップデート関連のツールであると信じるようになる、というわけです。さらに、sysファイルも、ユーザーの目を欺くよう巧妙に仕組まれています。
上図からわかるとおり、このsysファイルには「MyDDKDevice」や「HelloDDK」という文字列があります。それに加え、同ファイルは、様々なデバッグメッセージを出力するよう設計されており、そのことから、ビギナー向けのデバイスドライバプログラミングのガイドブックにあるサンプルコードから編集したような、通常のテストsysファイルに見えます。実際、これらの文字列を検索してみると、デバイスドライバプログラミングについて書かれたWebページが多数ヒットするはずです。sysファイルが、なぜこのように設計されているのかを推測するのは困難です。しかし、ヘルプファイルの中にバックドアを隠すという巧妙な手口から考えると、はじめからsysファイルを作るのが面倒でこのようなことをしたわけではなく、いかにも無害に見せかけるためにユーザーを欺いている可能性の方が高いと考えられます。
マルウェア作者の意図としては、以下のシナリオが考えられます。まず、ユーザーはこの不審なファイル「UpgraderUI.exe」とレジストリキーの存在に気づきます。次にユーザーは、そのファイルとレジストリキーを削除し、同時にバックドアもうまく削除できたと考えます。たとえユーザーが再起動のたびに問題のファイルとレジストリキーが復活することに気がついても、それ以外の不審なファイルを見つけ出すことは非常に困難でしょう。なぜなら、sysファイルそのものが悪意あるファイルであることや、「imepaden.hlp」ファイルが感染しているなどとは予想しないから、というものです。
このような手口が本当に機能するのかどうかはわかりません。しかし、自分のマシンが感染している可能性がある場合は、ヘルプファイルもチェックリストに加えたほうがいいでしょう。ウイルス定義ファイル5861かそれ以降のMcAfee VirusScanであれば、このように感染したヘルプファイルおよびバックドアファイルも検出して駆除することができます。
