Video Screencast Help
Security Response

W32.Ackantta.B@mm の進化

Created: 30 Jul 2010 11:55:43 GMT • Translations available: English
Andrea Lelli's picture
0 0 Votes
Login to vote

メールを大量に配信する Ackantta ワームが初めて登場したのは、今からおよそ 1 年半前のことです。それ以降、このワームは進化を続け、その悪質な機能を強化しています。近頃その亜種である W32.Ackantta.B@mm の最新サンプルの 1 つを確認しましたが、これは非常に興味深い手口を示しており、ワームの隠匿性や拡散力が飛躍的に強力になっています。

主な目的は広告

Ackantta は新しいコンピュータへの拡散に限ったものではありません。このワームの目的は、広告を専門とするトロイの木馬である Trojan.Mozipowp のコピーを投下し、実行することです。Mozipowp は主要な Web ブラウザ(Firefox、Opera、Chrome、Internet Explorer)を乗っ取り、侵入したコンピュータ上に目的の広告を表示させます。

拡散に次ぐ拡散

Ackantta はあらゆる手口で、広告と一緒に自分自身を拡散させようとします。

P2P および Downloads フォルダ

このワームは侵入したドライブをスキャンして、一般に使用されているファイル共有プログラムの名前を持つフォルダを検索します。こうしたフォルダを検出すると、有名なソフトウェアのファイル名を使用してフォルダに自分自身をコピーしたり、有名なソフトウェアの「クラック」またはキージェネレータのふりをします。


 
画像1: Ackantta は正規のソフトウェア、クラック、またはキージェネレータのふりをしようとする

電子メール

このワームは、ユーザーが保存した電子メールアドレスをすべて収集するために、ユーザーの Windows アドレス帳のアーカイブ(Outlook で保存された電子メールの連絡先をすべて含むファイル)を検索する機能を備えています。こうして収集したアドレスすべてに対して、「You have got a new message on Facebook!(Facebook に新しいメッセージが届いています!)」や「Cindy would like to be your friend on hi5!(Cindy が hi5 であなたの友達になりたがっています!)」といった、わざと誤解を与えるような件名を付けて自分自身を送信します。この電子メールには、「Invitation Card.zip」といった紛らわしい名前の ZIP ファイルが添付されます。この添付ファイルの中には、「Document.chm                             .exe」などの名前で、ワーム自体をコピーしたファイルが含まれています。この手口では、電子メールが正規の送信元からのものであり、添付ファイルを開いても安全であるとユーザーに信じ込ませようとします。しかし、実際には、これは実行可能ファイルであり、拡張子が .exe であることを隠すためにファイル名に多くのスペースが挿入されています。

 
画像2: ZIP アーカイブとその中の実行可能ファイルの両方に対して、わざと紛らわしいファイル名を使用している例

このワームはまた、検出したすべてのドキュメントファイルをスキャンして、電子メールアドレスを収集します。ただし、「abuse」や「support」といったブラックリストに載っている単語を含む、彼らの "同類" の電子メールアドレスには自分自身を送信することを避けるのです。

 
画像3: ワームによって送信された詐欺電子メールの例

上記の電子メールの例では、悪質な行為とはまったく無関係な Hallmark から送られてきたかのように見せかけています。ワームは、電子メールメッセージを偽装して、あたかも正規の企業から送られたものであるかのように見せようとします。正規の企業のものであると偽るために、有名な Web サイトの名前をメッセージの中にコピーして、ユーザーにこの電子メールを信用させ、悪意のある添付ファイルを開かせます。

リムーバブルメディア

Ackantta はリムーバブルドライブの RECYCLER フォルダに自分自身をコピーしようとします。

 
画像4: ワームはリムーバブルドライブの RECYCLER フォルダに自分自身を隠ぺいするとともに、悪意のある「autorun.inf」ファイルを感染させる

Web サーバー

このワームはコンピュータをスキャンして、IIS または Apache Web サーバーの存在を確認します。サーバーが見つかると、Web サーバーのルート位置に自分自身をコピーし、以下のような偽の index.html ページを作成します。

 
画像5: 侵入した Web サイトの index ページの代わりに表示される偽のセキュリティ警告。リンク先として、ウイルスの実行可能ファイルが指定されている

この手口では、侵入したコンピュータが Web サイトをホストしている場合、ホームページが偽のセキュリティ警告に書き換えられ、ワーム自体がリンク先として示されます。この Web サイトにアクセスすると、偽のページが表示され、ワームのダウンロードおよび実行に誘い込まれます。

隠ぺい

この Ackantta の新しい亜種は、実行されると、ルートキットでは有名なカーネルオブジェクトの直接操作(DKOM)テクニックを使用して、自分自身のプロセスを隠ぺいします。このテクニックは通常、カーネルモードで使用され、システムドライバをロードするか、またはよく知られているテクニックや裏技を使ってカーネルモードでコードをインジェクトし、実行します。しかし、興味深いことに、Ackantta はカーネルモードでのコードの実行を必要とせずに、DKOM テクニックを使用しています。このとき、Ackantta は Windows の未公開の ZwSystemDebugControl 関数を使用します。ただ、この関数は目新しいものではなく、これまで研究者たちによって議論され、文書化されています。その一方で、ユーザーモードのアプリケーションがカーネルモードにあるメモリ位置に対して読み書きでき、これは事実上、アプリケーションがカーネルのコードやデータにアクセスし、これを修正できることを意味するため、マルウェアでも使用されてきました。具体的には、Ackantta は自分自身のプロセスをタスクマネージャから隠すために、実行中のプロセスのリストを修正しようとします。

セキュリティ機能の無効化

このワームは自分自身を検出されたりブロックされたりしないようにするために、一般的なセキュリティ製品やセキュリティ機能をバイパスしようとします。

•    ユーザーアカウント制御を無効にする。
•    Windows ファイアウォールを通過できるアプリケーションリストに自分自身を追加する。
•    有名なセキュリティ製品のサービスを停止および削除する。
•    有名なセキュリティ製品の Run キーを削除する。
•    有名なセキュリティ製品のプロセスを強制終了する。
•    カーネルのシステムサービスディスパッチテーブル(SSDT)からすべてのフックを削除して、ウイルス対策ソフトウェアなどの製品によって実行されるセキュリティチェックを回避する。

この最後の手口でも、カーネルモードメモリを操作できることが求められます。そして、ここでも、Ackantta はカーネルモードでコードを実行せずに、この目的を果たすことができます。ただし、この場合は、前述した ZwSystemDebugControl を使用したテクニックではなく、別のテクニックを使用します。これは従来からよく知られているもので、\Device\PhysicalMemory システムオブジェクトを利用したものです。このオブジェクトはアプリケーションが対話できるデバイスで、このオブジェクトと対話することで、アプリケーションは物理メモリに直接アクセスすることができます。具体的には、このワームはカーネルモードの SSDT を含む物理メモリページにアクセスし、フックをまったく含まないクリーンな状態の元の SSDT に書き換えます。

これは従来から使われる手口であり、これまでにも確認されています。ただ、同じ目的を果たすのに 2 つの異なるテクニックを使用する例は滅多になく、これを突き詰めると、いくつかの理由が考えられます。最初のケースでは一方のテクニックを使うほうが簡単であり、2 番目のケースではもう一方の手法を使うほうが便利であると、作成者が考えたのかもしれません。あるいは、別の人間がコードを更新したことも考えられます。いずれにしても、Microsoft がオペレーティングシステムを更新したことにより、新しいカーネルではこうした手口が通用しなくなっています。つまり、Windows Server 2003、Windows Vista、Windows Server 2008、および Windows 7 は保護されています。Windows XP は、64 ビットバージョンは保護されていますが、32 ビットバージョンは保護されていません。

結論として、この脅威の手口は著しく巧妙化されています。多くの手口が使用され、これらが組み合わされて危険なワームになります。添付ファイルを含む電子メールメッセージを扱う場合やファイル共有ネットワークから実行可能ファイルをダウンロードする場合は注意が必要です。また、リムーバブルメディアのデータや友人からの電子メールもやみくもに信用しないでください。ユーザーにとって、常に用心することこそが、最善のセキュリティ対策となるのです。