Fake Input Method Editor(IME) Trojan」より
July 4、2010 posted by Tamas Rudnai

 当社(米ウェブセンス)のセキュリティラボは、Webベースの脅威からユーザーを保護する目的で運営している「ThreatSeeker Network」で、WindowsのInput Method Editor(IME)機構経由で感染するトロイの木馬を検出した。IMEは、キーボードなどの入力機器で直接表記されていない文字/記号を入力する手段として、OSが用意しているコンポーネントやプログラムである。例えば、「英欧文」用キーボードでもIMEを使えば中国語や日本語、韓国語、インド系の文字を入力できる。

 今回のトロイの木馬はIMEプログラムとしてWindowsに感染し、動いているウイルス対策ソフトのプロセスをすべて止め、インストールされているウイルス対策ソフトの実行ファイルを削除する。トロイの木馬を感染させる元々の実行ファイルは、ウイルス対策ソフト用のアップデートパッケージを偽装したものになっている。

 トロイの木馬は、実行されるとWindowsのシステムフォルダー内に「winnea.ime」というファイルを作る。拡張子「.ime」のファイルは、米マイクロソフトによってプログラム「Global Input Method Editor」と関連付けられている。

 上図のようにwinnea.imeはDLLなのだが、IMEファイルを装ってシステムにIMEファイルとしてインストールされる。下図に現れた入力パラメーターの「5Ah」は、関数「SystemParametersInfo」(sub_131486C0)に渡され、既定のIMEを設定しておくWindowsレジストリー内のユーザープロファイル変更に使われる。

 この状態でユーザーが既定のIMEを起動しようとすると、winnea.imeが動いてウイルス対策ソフトの一覧をロードして見つけ出す。

 さらにwinnea.imeはシステムフォルダーに「pcij.sys」というファイルを入れ、ドライバープロセスとしてロードする。

 続いてwinnea.imeは関数「DeviceIOControl」をコールして、一覧にあるウイルス対策ソフトのプロセスをすべて止める。この際、制御コードはドライバープロセスのpcij.sysに渡される。

 pcij.sysは作動しているウイルス対策ソフトの全プロセスの検出を担当しており、プロセス停止は関数「ObReferenceObjectByHandle」を呼び出して行う。

 簡単な分析ではあるが、これはトロイの木馬に悪用される可能性のある興味深いシステム感染手法であることを示している。今やWindowsのIME機構は、悪質なコードを感染させる手段としてハッカーがよく使うようになってしまった。

 なお「Websense Messaging」と「Websense Web Security」を使っていれば、今回の攻撃は防げる。


Copyrights (C) 2010 Websense, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,ウェブセンスの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログWebsense Security Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Fake Input Method Editor(IME) Trojan」でお読みいただけます。