McAfee Avert Labs Blog
Task Manager Still Working? Can You Change Your Windows Password?」より
September 1,2009 Posted by Karthik Raman

オリジナル記事(9月1日)

 「パソコンのセキュリティを低下させるマルウエア」の情報を入手した。このマルウエアは,レジストリにアクセスできなくしたり,「Internet Explorer(IE)」のセキュリティ・レベルを緩めたり,システム・ファイルを削除したり,DNS設定を変えたりするらしい。いずれの行為も,マルウエア感染やシステム改変の危険性を高める。

 我々は8月31日に,レジストリを変更してパソコンのセキュリティを弱めるトロイの木馬を見つけた。具体的には,タスクマネージャと「Windows Update」,IEのツールバーを無効化するマルウエアだった。さらに,感染したパソコンは操作ロックやパスワード変更ができなくなる。感染パソコンでCtrl+Alt+Delを押すと,以下のような表示が出る。

 我々は,こうしたタスクマネージャの機能不全を最も被害の大きいセキュリティ攻撃とみなしているので,このマルウエアをトロイの木馬,QTaskMgr-1と呼ぶことにした。QTaskMgr-1の検出/除去は,9月1日リリースの定義ファイル(DAT)「5727」以降で行える。

追記(9月3日)

 商用アプリケーションの中にも,トロイの木馬「QTaskMgr-1」に感染したコンポーネントが発見された。そこで当社(米マカフィー)は,このマルウエアを「Potentially Unwanted Program(PUP)」(好ましくないと思われるプログラム)として検出することにした。当社の脅威情報データベースに記載したQTaskMgr-1の動作と同じ動きをするファイルを見つけたら,ウイルス対策技術研究機関「Avert Labs」に報告してほしい。

 ウイルス対策の調査作業は,状況がすべてだ。例えば,動作が怪しいうえ,間違ったデジタル署名を付与されたファイルを入手したとしよう。我々はユーザーのセキュリティに配慮する必要があるため,このファイルをウイルス対策ソフトの検出対象にする。このファイルが,危険性のないアプリケーションのコンポーネントであるとことを知らない限り,危ないものとして扱わなければならない。

 こうした前提を設けているのは,「Induc」というウイルスに感染したファイルの事例があるからだ。この例では,バイナリのリソースを確認したが,同じように感染している。怪しい挙動や雰囲気があるのなら,悪質なファイルなのだ(関連記事:相次ぐ「Delphiウイルス」の感染事例、正規のオンラインソフトにも /有名なパソコン雑誌の付録CD-ROMに「Delphiウイルス」混入 /開発ツールDelphiを狙うウイルスが猛威、作成したソフトすべてに感染 )。


Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Task Manager Still Working? Can You Change Your Windows Password?」でお読みいただけます。