今回もオンラインゲームのアカウントとパスワードを詐取する不正プログラムである,ONLINEGファミリーの「WORM_ONLINEG.EMX」を取り上げる。今回は,アカウントとパスワードを詐取する動作ではなく,不正プログラムの特徴的な機能の一つとも言えるセキュリティ製品を無効化する仕組みについて取り上げたい。
以前から不正プログラムにはセキュリティ製品のプロセスを停止する機能や,パターンファイルなどをアップデートするサイトの名前解決を妨害するためにhostsファイルに無効なエントリーを書き込むなどの機能が数多く存在している。今回取り上げるWORM_ONLINEG.EMXは,どのような手法を用いてセキュリティ製品を無効化しているのか。早速,検証してみよう。
今回は検証環境用に1台のコンピュータを用意した。テスト機には,Windows XP SP2とウイルスバスター2009をインストールした。続いてリアルタイムにWORM_ONLINEG.EMXを検出および削除しないように,「ウイルス/スパイウエアの監視」機能を無効にした上でWORM_ONLINEG.EMX(ファイル名,malware.exe)をテスト機上で実行させた(図1)。
WORM_ONLINEG.EMXを実行してすぐに,ウイルスバスター2009の機能の一つである,不正プログラムによるコンピュータの設定の不正な変更を監視する「不正変更の監視」機能によって検出された(図2)。本来であれば,WORM_ONLINEG.EMXのコンピュータに対する不正な変更をブロックするために「拒否」を選択するのだが,今回は不正プログラムの動作を検証するために「許可」を選択した。
なお,通常は「ウイルス/スパイウェアの監視」機能を無効にすることや,「不正変更の監視」機能によってブロックされた結果の詳細を確認せずに「許可」することは,本来防げたはずのウイルス感染を引き起こし,被害に遭うだけではなく加害者になる可能性があるため推奨しないことを特記しておきたい。
