今回はWINCE_BRADOR.Aを取り上げる。この不正プログラムはWindows CEおよびWindows Mobileシステム上で動作するワーム型に分類される不正プログラムである。
トレンドマイクロでは不正プログラムの活動内容を一目で把握できるようにウイルス名の最初に接頭辞をつけている。例えば,ワーム活動を行う不正プログラムには「WORM_」,トロイの木馬型の不正プログラムには「TROJ_」といった具合である。その他にその不正プログラムが活動する「MAC_」「OSX_」などプラットフォームから接頭辞が付けられるものもある。
今回取り上げる「WINCE_」は,Windows CE(PocketPC)で動作する不正プログラムに付けられる接頭辞である。その他にも携帯電話関連では,Symbian OSで動作する不正プログラムには,「SymbOS_」といった接頭辞がある。
今回取り上げるWINCE_BRADOR.Aは,2004年8月に出現した。WINCE_BRADOR.Aに感染すると,攻撃者に対して感染を知らせる通知メールを送信し,攻撃者が携帯電話に不正侵入できるようになるバックドア型の不正プログラムである。
検証環境用に1台のマシンを用意した。テスト機はWindows XP SP2をインストールした。テスト機上で,Windows Mobile 6エミュレータ(以下,エミュレータ)とネットワークパケット・キャプチャ・ツール,バイナリ・エディタ,逆アセンブル・ツールをインストールし,そのほかにエミュレータ上にタスクマネージャやレジストリエディタをインストールした(図1)。
テスト機上で共有フォルダを作成し,エミュレータ上からStorage Cardとして認識するように設定を行った上で,Storage Card上にWINCE_BRADOR.A本体である,BRADOR.exeを置いた。続いて,エミュレータ上でWINCE_BRADOR.Aを実行し,動作を検証する(図2)。
