■第3回 これには触れられない(5回シリーズ)
ウイルス対策ソフトをインストールしていれば、定期的なスキャンが行われた際に、このようなポップアップメッセージが表示されるはずです。
「不正なファイル、c:definatelyNotAVirus_Honest.exe がPC上で検出されました。」
不正なファイルが確認されると、IT担当者の中には、「Virus Total」のようなマルチスキャナ・オンラインサービスにファイルを自主的に提出する人もいます。こうすれば、ファイルは、40ぐらいのベンダーでスキャンされ、ファイルの検出結果を知ることができます。
上記の段落内で、4回使われた言葉にお気づきですか? 「ファイル」です。ウイルス対策テクノロジーでは、実行ファイルのスキャンが中心となります。これこそ、「Pushdo」が、可能な限り、ウイルス対策テクノロジーを回避している理由なのです。
これまで、「Pushdo」には多くのサブコンポーネントが含まれると説明してきました。ということは、感染したPC内は、不正な実行ファイルや、DLLファイル、システムファイルで溢れていると思っていませんか? 実際、「Pushdo」はハードディスクに2つのファイルを作成するのみで、その他は可能な限りディスクに触れないようにします。もっとよくわかるように、「Pushdo」の通常の攻撃方法をステップごとに説明します。(「Pushdo」が実際、何度ハードディスクにアクセスするか、気をつけてみてください。)
- ユーザが、気づかぬうちに悪意のあるサイトにアクセスし、攻撃が開始され、「Pushdo」のインストーラがPCのメモリに直接組み込まれます。
- 「Pushdo」がシステムディレクトリに1つのファイルを作成しますが、これが自身のコピーとなります。
- この後にシステムが起動するたびに「Pushdo」は他のマルウェアのコンポーネントをダウンロードします。この時も、必ずメモリに常駐し、ハードディスクに書き込まれることはありません。
- これらの不正なコンポーネントの1つは、カーネルモードのルートキットをダウンロードします。このルートキットは、デバイスドライバとしてシステムにインストールされます。
お気づきのとおり、ステップ2と4でのみ、不正なファイルがハードディスクに書き込まれます。これは、この2つのファイル以外にはウイルス対策ソフトのスキャンが「触れられない」ことを意味します。
各Windowsのプロセスには2GBの仮想メモリスペースがあるので、ウイルス対策スキャナがメモリをスキャンするのは恐ろしく時間がかかります。したがって、ほとんどのベンダーは、スキャンを試みようともしないのが現状です。
だとすれば、どうやって「Pushdo」のような脅威から身を守ればいいのでしょうか。その答えは、多層ディフェンスのアプローチをとることです。たとえば、トレンドマイクロのSmart Protection Network がこれに該当します。これについては、シリーズの最終回で詳しく説明しようと思います。次回は、「Pushdo/Cutwail – 勝利を嗅ぎ分ける」です。お楽しみに。
 |
3/5 |  |
| Index | |
| 「Pushdo」の脅威に関する主要なファクターとその防衛手段 | |
| Page 1 第1回 スパムの技法 |
|
| Page 2 第2回 ロシアより愛をこめて |
|
 |
Page 3 第3回 これには触れられない |
| Page 4 第4回 勝利を嗅ぎまわる |
|
| Page 5 最終回 従来型のウイルス対策は役立たず |
|