Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

新たな手法でWindowsを感染させるTrojan.Gapz.1

2012年11月19日

株式会社Doctor Web Pacific


Doctor Webは、感染させたシステム内に自身を隠蔽することのできる新たなブートキットマルウェアについて報告します。Trojan.Gapz.1 としてウイルスデータベースに追加されたこのアプリケーションは、コンピューターの感染に比較的興味深いメカニズムを用いています。ルートキットの1つが、様々な機能を搭載した自身のコアモジュールをロードするための環境を、感染したコンピューター内で作り上げます。

Trojan.Gapz.1は32ビット版および64ビット版いずれのWindows上でも動作することが可能で、感染させるコンピューター上で使用されているシステムのバージョンをその感染過程でチェックします。この悪意のあるプログラムのインストールそのものは、その結果に応じて異なる手順で行われます。またこのトロイの木馬は、特別に作成されたコードの実行を可能にしてしまう、いくつかのシステムコンポーネントの脆弱性を悪用することができ、このことは同種の脅威の中では極めて異例であると言えます。

このブートキットインストーラーは、Windowsグラフィックの脆弱性を悪用してシステム内の実行ファイルが不正起動されることを防ぐUAC(ユーザーアカウント制御)をすり抜けようとします。同様のテクノロジー(埋め込みフォントDexter Regularを使用したもの)は、様々なアンチウイルス会社のエキスパート達によって徹底的に解析され一時は名を馳せたトロイの木馬Trojan.Duquにも使用されていました。

次にTrojan.Gapz.1は、感染したコンピューターのハードドライブの構造を解析し、特別なイメージを作成してディスクの予約セクター内に書き込みます。その後、MBR内のフィールドの1つを改変することでブートローダーをロードさせ、悪意のあるアプリケーションを実行させます。

Trojan.Gapz.1ルートキットは、実際には複合型マルウェアのコアであり、その目的は残りのトロイの木馬コンポーネントをダウンロードするための環境を整えることにあります。起動されると、Trojan.Gapz.1は複数のモジュールのセット及び設定データユニットを含んだバイナリイメージをロードします。これらのモジュールは特別なアセンブリコードのブロックで、実行されるとルートキット自身のAPIと連携します。これらのコンポーネントの機能および動作については未だ完全には解明されていません。例えば、モジュールの1つはリモートコマンドセンターに接続し、そこから実行ファイルをダウンロードすることが可能です。そこでDoctor Webのスペシャリストは、ペイメントシステムUCashと動作するよう設計された悪意のあるアプリケーションのダウンロードについて記録してきました。

Trojan.Gapz.1の解析は現在も続けられており、Dr.Webアンチウイルス製品にはこの脅威に対する特別な修復ツールが既に追加されています。そのため、このルートキットがDr.Webのユーザーに深刻な危害を与えることはありません。

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。
1992年に製品の開発をスタートしました。
Dr.Webは世界200ヶ国以上のユーザーに利用されています。
2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。
24時間体制サポート

Dr.Web © Doctor Web
2003 — 2021

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F