Zeroaccess Trojan(Trojan.Zeroaccess.C)の最新の亜種がその悪質な内容を格納する手口は画期的で、NT ファイルシステムに用意されている、拡張属性(EA)という機能を悪用しています。
Trojan.Zeroaccess.C 以前からマルウェアの作成者は、ファイルシステムに装備されている特別な API を利用して悪質な意図を隠す新たな方法を探し続けていました。よく知られているのは、ADS(代替データストリーム)と EFS(暗号化ファイルシステム)を使う手法です。
Trojan.Zeroaccess.C は、悪質なペイロードをファイル %System%\services.exe の EA データに書き込むときに ZwSetEaFile を使い、それを取得して実行するときに ZwQueryEaFile を使います。Trojan.Zeroaccess.C のコードは、元の初期化コードの一部を上書きすることによって、EA データを直接 services.exe ファイルに読み込んで実行するようにパッチが適用されています。
ZwQueryEaFile は、次の図のように悪質なペイロードを含む FILE_FULL_EA_INFORMATION 構造を返します。
ここで注意が必要なのは、元のコードが脅威によって永続的に上書きされてしまっているため、感染したシステムファイル(services.exe)に本来備わっているはずの情報で自動的に修復することはできず、ユーザーは正常なバックアップから手動でファイルを復元するしかない、という点です。Windows Vista 以降のバージョンの Windows には、ファイルを右クリックして[以前のバージョンの復元]を選択してファイルを以前のバージョンに復元できるオプションが追加されており、復元が以前より簡単になっています。
シマンテック製品は、このように感染した services.exe を Trojan.Zeroaccess!inf4 として検出します。
他の NTFS 機能と同様、EA にアクセスするには特別な API が必要なので、マルウェアの作成者はウイルス対策製品が EA をサポートしていないことを期待してこれらの手口を採用します。そのため、ペイロードは長い期間、機能し続けるのです。
Trojan.Zeroaccess.C は、EA を使うことで多様性をめぐる競争に新たな地歩を獲得しています。新しいバージョンはルートキットコンポーネントを持たなくなり、x86(32 ビット)と x64(64 ビット)両方のバージョンの services.exe ファイルに感染します。
Zeroaccess はこれまでも一貫して、悪質な挑戦を続けるように新たな手口を繰り出してきましたが、ウイルス対策の業界は迅速に対処し、新しい技術で対応しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。