ヘルプファイルに感染する新種のマルウェアに要注意

※本記事は、McAfee Labs 東京 アンチマルウェアリサーチ 主任研究員 本城信輔によるものです。

McAfee Labsでは、通常のやり方ではなく、まったく新しいやり方で感染を隠そうとするマルウェアを発見しました。「Muster.e」と呼ばれるこの新種のマルウェアは、既存のヘルプファイルに感染し、ヘルプファイルの中にバックドアを隠すという手口により、ユーザーの目を巧妙に欺きます。今回はこの「Muster.e」について取り上げます。

「Muster」はヘルプファイルを使って自分自身を隠すバックドア・ファミリーです。ヘルプファイル(「.hlp」ファイル)はマイクロソフト社のWinHelpブラウザ用のデータファイルで、アプリケーションのユーザーにオンラインヘルプを表示するために利用されます。これまでの「Muster」の亜種は、エンコードされたメインのバックドアコンポーネントのファイル名に拡張子「.hlp」が付けられていました。これらの「.hlp」ファイルが、のちにマイクロソフト社のCryptAPIで、ハードコード化された鍵を使って復号処理され、別のロードを担当するコンポーネントによって実行されるという仕組みです。

ところが新種の「Muster.e」は、ヘルプファイルを別の形で利用します。「Muster.e」は、インストールされると、「imepaden.hlp」と呼ばれる既存のヘルプファイルに感染します。「imepaden.hlp」はマイクロソフト社のIME用のヘルプファイルの1つです。もちろん、感染後のヘルプファイルも、オリジナルのヘルプファイルとまったく変わらず、WinHelpブラウザで表示できるので、表示画面を見てユーザーが感染に気づくことはまずありません。

では、マシンを起動するとこれはどのようにアクティベートされるのでしょうか?Muster.eはあるsysファイルをドロップしますが、これは再起動のたびにサービスとしてロードされます。このsysファイルは、感染したヘルプファイルから付着した実行ファイルを取り出し、それを「upgraderUI.exe」と呼ばれる単体の実行ファイルにコピーします。また、このファイルは、レジストリキー「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run AutoPatch」に関連づけられています。これによってユーザーは、このファイルが何かシステムのアップデート関連のツールであると信じるようになる、というわけです。さらに、sysファイルも、ユーザーの目を欺くよう巧妙に仕組まれています。

上図からわかるとおり、このsysファイルには「MyDDKDevice」や「HelloDDK」という文字列があります。それに加え、同ファイルは、様々なデバッグメッセージを出力するよう設計されており、そのことから、ビギナー向けのデバイスドライバプログラミングのガイドブックにあるサンプルコードから編集したような、通常のテストsysファイルに見えます。実際、これらの文字列を検索してみると、デバイスドライバプログラミングについて書かれたWebページが多数ヒットするはずです。sysファイルが、なぜこのように設計されているのかを推測するのは困難です。しかし、ヘルプファイルの中にバックドアを隠すという巧妙な手口から考えると、はじめからsysファイルを作るのが面倒でこのようなことをしたわけではなく、いかにも無害に見せかけるためにユーザーを欺いている可能性の方が高いと考えられます。

マルウェア作者の意図としては、以下のシナリオが考えられます。まず、ユーザーはこの不審なファイル「UpgraderUI.exe」とレジストリキーの存在に気づきます。次にユーザーは、そのファイルとレジストリキーを削除し、同時にバックドアもうまく削除できたと考えます。たとえユーザーが再起動のたびに問題のファイルとレジストリキーが復活することに気がついても、それ以外の不審なファイルを見つけ出すことは非常に困難でしょう。なぜなら、sysファイルそのものが悪意あるファイルであることや、「imepaden.hlp」ファイルが感染しているなどとは予想しないから、というものです。

このような手口が本当に機能するのかどうかはわかりません。しかし、自分のマシンが感染している可能性がある場合は、ヘルプファイルもチェックリストに加えたほうがいいでしょう。ウイルス定義ファイル5861かそれ以降のMcAfee VirusScanであれば、このように感染したヘルプファイルおよびバックドアファイルも検出して駆除することができます。

関連情報

※本ページの内容はMcAfee Blogの抄訳です。
原文:Be careful on help files

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速