セキュリティ組織のJPCERTコーディネーションセンター(JPCERT/CC)は2015年2月9日、ネットバンキングの不正送金に使われるウイルス(マルウエア)である「Dridex」を紹介し、注意を呼びかけた。WindowsのUAC(ユーザーアカウント制御)を回避する機能を備えるという。
Dridexは、ボットと呼ばれるウイルスの一種。感染するとPCを乗っ取り、攻撃者のC&CサーバーとHTTPで通信。攻撃者の命令に従って動作するとともに、認証情報などを盗んで攻撃者に送信する。
JPCERT/CCで確認しているDridexの多くは、Word文書のマクロ機能に潜んだウイルス(マクロウイルス)によってダウンロードおよび実行されるという(図1)。
図1●「Dridex」の感染過程(JPCERT/CCの情報から引用)
[画像のクリックで拡大表示]
ウイルスがPCを完全に乗っ取るには、管理者権限を奪う必要がある。だが、Windows Vista以降ではUACというセキュリティ機能が備わっているため、勝手に管理者権限を奪うことができない。そこで一部のウイルスには、UACを回避する機能が組み込まれている。以前から、UACを回避する手法は存在するが、今回紹介されたDridexでは、新しい手法を備えているという。
従来の手法では、Windowsのシステムプログラムを悪用する(図2)。例えば「PlugX」では、explorer.exeのような、信頼できる企業・組織にデジタル署名されているプログラムと、sysprep.exeのような自動昇格プログラムを組み合わせて、ウイルスを管理者権限で実行させるという。
図2●従来のUAC回避手法(JPCERT/CCの情報から引用)
[画像のクリックで拡大表示]
