コラム : トロイの木馬Adwindの最新版とアンチウイルスの関係
2019年4月24日
株式会社Doctor Web Pacific
最新ニュース
ADWIND(アドウィンド)は、過去、世界中の産業企業の攻撃にサイバー犯罪者によって使用されてきましたが、現在、一連のウイルス対策回避ツールが新しく組み込まれています。
特に懸念されているのは、Microsoft Excelを危険にさらし、ウイルス対策ソリューションを回避することを目的とした、新しい動的データ交換 (Dynamic Data Exchange、DDE) インジェクションコード機能です。
攻撃者は、悪意のあるメッセージをデフォルトでExcelで開く.CSVまたは.XLT添付ファイルとして送信します。
専門家によると、難読化の目的で新しい方式に実装されたといいます。 チェックする必要があるヘッダーがファイルに含まれていません - これはASCII文字がCSV形式で表示されることを期待するアンチウイルスソフトウェアを混乱させる可能性があります。
そのため、アンチウイルスソフトウェアはファイルをマルウェアとして検出される代わりに、単にファイルを破損したものとして扱ってしまう可能性があります。
一般に、難読化はコードを複雑にするときに行われます。 これは、マルウェアプログラムの一部が実行可能ファイル内に混ざり合ってソースコードを復元し、既知の署名を見つけることが不可能になる手法です。 しかし、署名とはどのような関係があるのかは 解りませんでした。 ニュース記事から判断すると、サイバー犯罪者は一般的な隠蔽技術を使用していると考えられます。
簡単に言うと、攻撃者は悪意のあるコードを.CSVファイルまたは.XLTファイルに入れているため、破損しているように見えます。そうなると アンチウイルスは怖がってスキャンしません。
そうなってしまえば、アンチウイルスを回避するのは非常に簡単です。たとえば、サイバー犯罪者は既知の形式のファイルをすべて盗み、その構造を破ることができます。しかし、状況は正反対です。 修復不可能なほどに破損しているように見えても、ウイルス対策プログラムはすべてのファイルをスキャンする必要があります。 そのため、アンチウイルスはアーカイブ抽出ユーティリティでは処理できないアーカイブを取り出すことができる多目的アンパッカーと言えます。
質問されていない質問に答えるには:はい、Dr.Webは他の多くのフォーマットを知っているのと同じようにそれらのフォーマットを知っています。 Java.Adwind も検出されます。 注:Dr.Webアンチウイルスは2015年からこれを検出し、伝えてきました。
難読化はトロイの木馬の動きを補助するものにはなりませんでした。
Rate
Repost
![[VK]](http://st.drweb.co.jp/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.co.jp/static/new-www/social/no_radius/twitter.png)
Like
![[facebook]](http://st.drweb.co.jp/static/new-www/social/no_radius/facebook.png)
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments