Video Screencast Help

W32.Changeup ワームはどのように作られたか

Created: 27 Aug 2012 08:30:03 GMT • Translations available: English
Masaki Suenaga's picture
0 0 Votes
Login to vote

Microsoft Visual Basic 6.0 が開発されたのは 1998 年ですが、それから 10 年以上が経つ今でも、Visual Basic で作成されたマルウェアは蔓延しています。そのひとつがポリモーフィックワームの W32.Changeup で、Visual Basic で書かれた全マルウェアの 25 パーセントを占めています。

W32.Changeup をもっとよく理解するために、詳しい解析に着手しました。まず、ツールでは逆コンパイルできないため、手動で逆コンパイルしなければなりませんでした。また、Visual Basic のプログラムはソースコード構文の自由度が高いため、解析には特別な知識が必要であるという点にも注意が必要です。具体的には、バリアントと配列を見つけ出すことが正確な解析の鍵になります。

ワームの解析が終わったところで、判明した詳細をホワイトペーパーにまとめました。その中で、このワームが Windows API を呼び出す経緯を説明していますが、冗長な API 呼び出しと文字列の連結によって不明瞭化されている点がこのワームの異色なところです。

また、W32.Changeup が拡散する際に実行可能ファイルのアイコンを変えることはよく知られていますが、この動作が可能な理由も、ソースコードを示して説明しています。

ソースコードの特定の部分も示し、手動で逆コンパイルする方法と、W32.Changeup が用いる手口の概略もお伝えしています。逆コンパイルの手法を理解すれば、Visual Basic による他のマルウェアについても理解しやすくなるでしょう。

まもなくリリースされる Windows 8 でも、Visual Basic ワームの拡散は止まらないと思われます。Visual Basic 6.0 で書かれたプログラムは Windows 8 でも動作するからです。こうして、Visual Basic ワームは今後も生き延びることになります。

解析結果は、『W32.Changeup: How the Worm Was Created』(英語)というタイトルのホワイトペーパーとして公開されています。ぜひご覧ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。