「ルートキットバスター」をご存じでしょうか。ウイルスをはじめとする悪質なソフトウェアの隠ぺいに悪用されている「ルートキット」を検出、削除することを目的としてトレンドマイクロが公開しているソフトウェアです。
先日、このルートキットバスターを偽ったウイルス「TROJ_FAKEBUSTR.A」が流通していることを確認いたしました。ウイルスパターンファイル 4.943.00以降により対応が完了していることを報告いたします。
今回の事例では、セキュリティに対して比較的関心の高いユーザが狙われているようです。偽ルートキットバスターはフリーソフトウェアダウンロードサイト(例:www.bestfreewaredownload.comとbetterwindowssoftware.com)の登録ユーザへ送付されるリリース告知メールが起点となっています。同メール中には偽ルートキットバスターのダウンロードURLが記載されていました。
メール中に記載されていたダウンロードURL
- http://www.{BLOCKED}eesoftwarenet.com/downloads/Spy-Blaster.zip
 |
|
Trendプロテクトによる評価では、[不審]レベルに判定されていることが分かります。 |
同URLよりダウンロードされる「Spy-Blaster.zip(Spy-Buster.exe)」はウイルス「TROJ_FAKEBUSTR.A」(対応パターンファイル: 4.943.00)であり、偽ルートキットバスターです。
Spy-Buster.exeを起動すると、以下の画面が表示されます。これが、偽ルートキットバスターと呼ばれる所以です。
 |
|
|
Spy-Buster.exe(TROJ_FAKEBUSTR.A)作者の真の狙いは図2と共に表示される図3より、読み取れます。
 |
|
|
図3では、最新版を告知するためにユーザ名とメールアドレスの登録を促しています。実際に情報を登録し、[Click Here To Register]ボタンをクリックすると情報は暗号化され、トレンドマイクロではない、第3者に情報が送信されます。
Spy-Buster.exe(TROJ_FAKEBUSTR.A)作者の狙いは不安に駆られたユーザのメールアドレスを搾取することにあったと推測されます。こうして収集されたメールアドレスは攻撃の第2波として悪用される可能性が高いと言えます。
特に今回の事例では、「技術分野、セキュリティに興味が高い」という嗜好が明らかになっているため、嗜好に合わせたより巧妙な第2波が発生する可能性が考えられます。
このような攻撃に対する対策としては、まず正規サイトからツールを直接入手することが挙げられます。トレンドマイクロでは、ルートキットバスターのダウンロードにおいて、いかなる情報の提供も求めていません。
また、すでにダウンロードして利用していたルートキットバスターが正規のファイルであるかを確認するには、実行ファイルに有効なファイル バージョン情報が登録されていること、「ハッシュ値」が公開情報と同一であることを確認することが有効です。
![図4 ルートキットバスターの[バージョン情報]、[ハッシュ値]を確認](/wp-content/uploads/2008/01/080115comment04.gif) |
|
|
偽ソフトウェアによる攻撃の対策
- 正規のサイトからツールを直接入手する。
-
「ルートキットバスター」は以下のURLにて公開を行っています。
http://jp.trendmicro.com/jp/support/extermination_tool/rkb-licence/index.html - 実行ファイルに有効なファイル バージョン情報が登録されていることを確認する。
- Microsoft社が提供する Sigcheck により、コマンドラインからファイル バージョン情報は確認できます。
- 「ハッシュ値」が公開情報と同一であることを確認する。
- Microsoft社が提供する 「File Checksum Integrity Verifier utility」により、コマンドラインからハッシュ値情報は確認できます。
ルートキットバスターのハッシュ値情報
| ファイル名 | MD5ハッシュ値 | ファイルサイズ | バージョン | Description |
| rootkitbuster.exe | e47a5cd2a8fe42d7f0848d60ada4b7d7 | 2,168 KB | 2.2.0.1014 | Trend Micro RootkitBuster |
| rootkitbuster.exe | 4fba1c6f8bbcc92bece78add9e787e0e | 788.08 KB | 1.6.0.1060 | Trend Micro RootkitBuster |
| rootkitbuster.exe | b1cb8dd215495a3c9d6e19ef3e25fc25 | 788.08 KB | 1.6.0.1055 | Trend Micro RootkitBuster |
| rootkitbuster.exe | a05bd18b97225c097dd7f351c95082c8 | 788.08 KB | 1.6.0.1049 | Trend Micro RootkitBuster |
今回の事例では、トレンドマイクロのみならず、セキュリティベンダー Prevx社も同様の被害を受けています。(注釈 1.)
今後、模倣犯が出現する可能性も考慮し、例えセキュリティアプリケーションであっても、ダウンロードし利用することは常に用心する必要があると言えます。
* 注釈1. Prevx Research Blog : 「Prevx and Trend Micro targeted by spammers(2008年01月10日)
* 参考情報1. TrendLabs Malware Blog : 「Fake RootkitBuster Busted!」(2008年01月12日)