今回は,ルートキットを検証する。現在,不正プログラムの中でルートキットと呼ばれるものは,PC内の情報を隠ぺいする活動を行うもののことである。こう説明すると,よくユーザーの方から,情報を隠すだけなら別に危険な活動ではないのではないか?という質問を受けることがある。ルートキットは,確かに情報を盗み出すなどの直接の被害を与えるものではない。しかし,そのようなユーザーに直接の被害を与えるほかの不正プログラムの活動を隠ぺいし,発覚しにくくするのがルートキットの目的なのだ。

 では,ルートキットの活動を検証してみよう。今回の検証では,トレンドマイクロの検出名で「TROJ_AGENT.JVH」(エージェント),「TROJ_ROOTKIT.CL」(ルートキット)として対応されているルートキットを使用する。TROJ_ROOTKIT.CLはルートキット本体。そしてTROJ_AGENT.JVHはTROJ_ROOTKIT.CLをインストールするためのインストーラである。

 まず,TROJ_AGENT.JVHを検証環境にコピーした。ファイル名は分かりやすく「TROJ_AGENT.JVH.exe」としておく。TROJ_AGENT.JVH.exeをダブルクリックで実行しても,表面上は何の変化もないように見える(図1)。

図1●「TROJ_AGENT.JVH」を実行した際のデスクトップ画面
図1●「TROJ_AGENT.JVH」を実行した際のデスクトップ画面
[画像のクリックで拡大表示]

 しかし,表面上は何も起こっていないように見えるその裏では,何らかの活動が行われているはずだ。活動を確認するため,実行中のプロセスをリアルタイムにツリー構造で表示できる「Process Explorer」を使用して実行後の動きをモニターする。すると,実行されたTROJ_AGENT.JVH.exeは「taskdir.exe」というプロセスを起動して終了していることが分かった(図2)。実は,このtaskdir.exeがTROJ_ROOTKIT.CLなのである。

図2●Process Explorerの画面ショット
図2●Process Explorerの画面ショット
[画像のクリックで拡大表示]