Your browser is obsolete!

The page may not load correctly.

無料トライアル版
Dr.Web for Android

Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.com:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

コラム : Windowsに仕掛けられたCIAによるマルウェアの実態

2017年11月8日

株式会社Doctor Web Pacific


WikiLeaksは、Windows XPとWindows 7を実行しているマシンで、データを収集するために使用されるいくつかのCIAツール(マルウェア)に関する別のバッチの情報を公開しています。これらの「ヘルパー」はかなり興味深いものです。

コンポーネントBadMFSは、暗号化し、わかり難くされた形式で他のマルウェアコンポーネントを格納する秘密のファイルシステムです。Windows Transitory File Systemは5番目のコンポーネントです。 WikiLeaksによると、それはBadMFSの代わりに設計されています。 コンポーネントは一時ファイルを使用し、ローカルファイルシステムに依存しませんでした。

悪意のあるプログラムが、通常のファイルにデータの書き込みをしたり、インターネット経由で送信したりするときに、悪意のあるプログラムが独自のファイルシステムを必要としているのかどうか疑問に思うかもしれません。

これは、予防的な保護コンポーネントのためです。悪意のあるプログラムが起動しても(たとえば、ユーザーがディスクドライブ全体または特定のアプリケーションのすべてのトラフィックをスキャンの例外のリストに追加した場合)、そのプロセスはこのアンチ・ウイルスによって精細に調べられます。新しいプログラムの活動は予防的保護によって最も確実に監視されます。そして、CIAはそれを回避する方法を見つけました。

彼らは独自のファイルシステムを含む1つのファイルを作成しました。Linuxでは、標準のディスクユーティリティを使用して、1つのファイル内のディスクスペースをフォーマットすることができます。Windowsで仮想ディスクを作成することは難しいですが、それを行うためのユーティリティがあります。

その結果、予防的保護ルーチンは、ほとんどのアクションがファイル内で実行され、標準ファイル操作とみなされるため、疑わしいものとして検出しません。

Carberpの後継であるTrojan.Bolik.1は、特殊ファイルに格納されている同様の仮想ファイルシステムを使用しています。トロイの木馬は、ファイルをシステムディレクトリの1つまたはユーザーフォルダに保存します。このファイルシステムは、マルウェアが感染マシン上で動作するために必要な情報を秘密で保存することを可能にします。

さらに、攻撃者はファイルシステムを暗号化して、ストレージから情報を抽出しようとする試みが無駄になるようにすることができます。独自の暗号化仮想ファイルシステム(EVFS)を作成するマルウェアプログラムReginも同じことをしています。EVFSを暗号化するために、マルウェアはブロック暗号 RC5を使用します 。もしくは、ディスクパーティションの境界線を移動することによって、ファイルシステムの外部にストレージを配置します。たとえば、TDL 3/4ルートキットは、ディスクの最後にセクタ単位でTDLFSファイルシステムを作成しました。

#Windows #malware #Trojan #preventive_protection

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2017

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F