偽ウイルス対策ソフト(ユーザーを脅すことから「スケアウエア」とも呼ばれる)が流行するようになってほぼ1年が経過した。この種のトロイの木馬は,ドライブバイ・ダウンロードや検索エンジン最適化(SEO)ポイズニング(関連記事:「Google Trends」の急上昇ワードをマルウエア配布に悪用),スパム・キャンペーン,ずる賢いソーシャル・エンジニアリングといった手口で広まることが多い。これまで当ブログは,感染拡大目的のこうした手口を取り上げてきた。今回は,偽ウイルス対策ソフト系トロイの木馬がウイルス対策ベンダーからの検出を避けるために採用している防御策を詳しく見よう。
無意味な命令挿入で難読化したコード
上記スクリーンショットは,意味のある命令の間に大量の無駄なコードが挿入した例だ。意味のない命令を入れる手口は,多くの偽ウイルス対策ソフトで使われている。
不必要なAPIの呼び出し
上記スクリーンショットは,このコードで必要のないAPI「SetArcDirection」を呼び出した例である。不必要なAPIは,マルウエアが(解析などを目的とする)エミュレーションの対抗手段として使っている。マルウエアのなかには,エミュレーションされているかどうかを確認するために存在しないAPIを呼び出すものもある。
専用パッカー
偽ウイルス対策ソフトの多くは,専用パッカー(暗号化ルーチン)を使っている(関連記事:専用パッカーを使う偽アンチウイルス・ソフト「XP Antivirus」)。既存のパッカーを改造して使うマルウエアもある。
XMMレジスタとMMX命令セットの使用
たいていの偽ウイルス対策ソフトは,コード内では必要ないXMMレジスタやMMX命令セット(関連記事:MMX),浮動小数点演算プロセッサ(FPU)命令セットを,ほかの無意味なコードとともに使っている。
当ブログ記事で紹介した手口は特別新しいものでなく,よく知られたマルウエアで使われている。偽ウイルス対策ソフト系トロイの木馬は,持っている能力を最大限発揮させる目的で,亜種を作るたびにこの種の防御策を使う。アドウエアとスパイウエアが減少傾向にある現在,偽ウイルス対策ソフト系トロイの木馬がインターネット界の悪者と呼ぶべき存在になってきた。
Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Fake Alerts Uncovered」でお読みいただけます。
