この数カ月間,中国のネットワークで「Robot Dog」と呼ばれるウイルスが猛威をふるっている。同ウイルスの主な目的は,インターネット・カフェのパソコンに感染させることである。中国のインターネット・カフェは大半がシステム復旧ソフトを利用しており,ウイルスからパソコンを守るのに役立っている。そこでRobot Dogはシステム復旧ソフトに潜り込み,パソコンに感染するようになっている。このウイルスは何世代かかけて進化し,ウイルス対策/システム復旧ソフトウエアを攻撃するようになった。
米ウェブセンスのセキュリティ・ラボでは,Robot Dogの最近のバージョンを分析した。
このバージョンのRobot Dogは,まず最初にファイルをシステムに挿入し,サービスとして登録する。するとそのサービスが中国で多くのユーザーが利用している「360safe」や「Rising」といったウイルス対策ソフトのプロセスを止め,対策機能を無効化してしまう。
問題のコードのサンプルを掲載しておく。
ウイルス対策ソフトを無効化した後,Robot Dogは「explorer.exe」に感染する。explorer.exeのハード・ディスク上の位置を特定し,その先頭の512バイトをロードすることで実現する。512バイトをロードする際には「CreateFile」「ReadFile」というAPI(アプリケーション・プログラミング・インタフェース)を使う。この先頭512バイトを異なる2通りの方法で比べたところ,Robot Dogは監視ソフトを検出するためのコードを使っているらしいことが分かった。続いてウイルスは,explorer.exeに何らかのコードを挿入し,そのコードを動作させるために最初の“関数呼び出し”の部分を改変する。一方で,Robot Dogは同じコードを使ってexplore.exeプロセスを挿入する。このコードは,あるWebサイトからウイルスをダウンロードして実行する機能を持つ。
同コードがダウンロードするウイルスは以下の通りだ。記載されたURLのほとんどが悪質なものと考えられる。
Robot Dog本体を調べたので,次に同ウイルスがパソコンにダウンロードしてサービスとして登録したファイルを分析してみた。
中国のインターネット・カフェは,たいていのパソコンでシステム復旧ソフトを使っている。そのため,Robot Dogは復旧ソフトの機能を停止しなければならない。これが問題のファイルの役割だ。我々が調べたところ,Robot Dogはシステム復旧ソフトを無効化するために,以下のような手口を使っていた。
(1)「harddisk0」の最初のフィルタ・デバイスを削除
(2)5種類の特別なリクエストだけに反応するよう「device\atapi」を設定
(3)ウイルス対策ソフトのリアルタイム監視機能を無効化するようシステム用サービスのアドレスが格納してあるテーブル「System Service Descriptor Table(SSDT)」を復旧
以下に示したのは,復旧するSSDT用コードの例である。
最後になるが,Robot Dogは「360safebox」「icafe」など人気のシステム復旧ソフトに効果のある,特殊な手法を使っている。
システム復旧ソフトを狙ったコードの例を掲載しておこう。
中国のインターネット・カフェ業界はRobot Dogによって大打撃を受けた。しばらく前までは,ウイルス対策ソフトとシステム復旧ソフトでRobot Dogの拡散を何とか抑えられていたのだが。
ウェブセンスは今後もRobot Dogの監視を続ける。
Copyrights (C) 2008 Websense, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,ウェブセンスの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログWebsense Security Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Robot Dog: Recovery Software Penetrating Virus」でお読みいただけます。
