Security Response

このブログ記事では、最近発見された Tidserv の亜種について引き続き分析します。Tidserv は 64 ビットの Windows オペレーティングシステムにも感染するトロイの木馬です。シマンテックでは、昨日、Tidserv の概要を掲載しましたが、本日は、Tidserv が 32 ビットおよび 64 ビットのオペレーティングシステムに自分自身をどのようにインストールするかについて詳しく説明します。

Backdoor.Tidserv.L は 32 ビット版 Windowsの実行可能ファイルとして入り込んだ後、稼動中の Windows が 32 ビット版か 64 ビット版かを検査し、アーキテクチャ固有のインストール方法を選択します。システムが 32 ビット版であることがわかった場合、Tidserv の以前の亜種と同じ方法で必要な権限を取得します。つまり、Print Spooler サービスとして自分自身を実行します。次に、32 ビット版の悪意あるカーネルドライバを投下し、Windows カーネルに読み込ませます。ドライバが読み込まれると、感染によってマスターブートレコード（MBR）が悪意あるものに置き換えられます。

その後、バックドアコンポーネントと設定データのコピーが、ハードディスクの最後尾にある、通常は使用されない領域に保存されます。バックドアがディスクに書き込む悪意あるデータはすべて暗号化されています（ただし、MBR コードの最初の 42 バイトを除きます）。悪意ある MBR が存在し、ハードディスクの最後尾にバックドアコンポーネントが保存されていると、Windows が起動されるたびにバックドアが実行されます。Windows パーティションには Tidserv コードが書き込まれないため、MBR を正常なものに戻さないかぎり、Windows を再インストールしても Tidserv は生き残ることができる可能性があります。

64 ビット版の Windows の場合、署名付きのカーネルドライバが必要なため、Tidserv のインストール方法も異なります。...

Backdoor.Tidserv が最初に登場したのは、2008 年のことです。このトロイの木馬は、高度なルートキットを使って自分自身の存在を隠していました。シマンテックでは、Tidserv の登場以来、多くの変更が加えられてきたことを確認しており、それらの変更点をブログ記事に記録してきました。昨日、Tidserv の新しいサンプルが見つかり、Backdoor.Tidserv.L および Boot.Tidserv として検出を開始しました。

Tidserv のこの新しい亜種には、主に 2 つの特徴があります。第 1 の特徴は、ユーザーモードのコードを、64 ビット版の各種 Windows に存在する Windows 64 ビット版ドライバプロセスに挿入するようになった点です。これまで、Tidserv の標的は 32 ビット版のオペレーティングシステムのみでした。64 ビットのプロセスにコードを挿入するウイルスは以前にもありましたが、ウイルス作成者にとって、これは比較的新しい試みです。また、この試みから、Tidserv の作成者が標的とし得るオペレーティングシステムに可能なかぎり潜入しようと、常にこの脅威を進化させていることがわかります。第 2 の特徴は、侵入したコンピュータのマスターブートレコード（MBR）に感染するようになった点です。したがって、オペレーティングシステムが読み込まれる前に、コンピュータを制御することが可能です。Tidserv の主要コンポーネントは、...

Hello and welcome to this month’s blog on the Microsoft patch releases. This is a fairly light month—the vendor is releasing four bulletins covering a total of five vulnerabilities.

Four of the issues are rated “Critical” and affect Help and Support Center, Access, and the Canonical Display Driver. The Help and Support Center issue was originally made public on June 10 of this year, and has seen in-the-wild exploit attacks. The remaining issue, rated “Important,” affects Outlook and can be exploited to bypass Outlook’s detection of unsafe file types when dealing with attachments. All of the issues are client-side, and require an attacker to trick a victim into performing some action in order to exploit.

As always, customers are advised to follow these security best practices:

- Install vendor patches as soon as they are available.
- Run all software with the least privileges required while still maintaining functionality.
- Avoid...

While investigating the malware and shellcode that were associated with the recent Adobe Flash Player, Adobe Reader, and Acrobat 'authplay.dll' Remote Code Execution Vulnerability (BID 40586), we came across some interesting similarities to the malware and shellcode that were used in the Microsoft Internet Explorer 'iepeers.dll' Remote Code Execution Vulnerability (BID 38615) targeted attacks from March 2010.

The first similarity is in the shellcode

The image below is the function-hooking shellcode that was used in the targeted attacks against the Microsoft Internet Explorer 'iepeers.dll' Remote Code Execution Vulnerability in March 2010:

Below is the function-hooking shellcode that was used in the targeted attacks against the Adobe Flash...