現在、私達は1日に25,000個のマルウェアサンプルを処理しています。
私達は、時々昔を思い出します。ラボで受け取った最新のウイルスを逆アセンブルするためにいつも戦っていた頃を・・・。
あなたはどう思いましたか?我々はフリークなのです;-)
けれども、最近では、マルウェアの大半が、トロイの木馬や偽セキュリティソフト(rogueware)などであるのが現実です。私達が主に話題にするのは、非ポリモーフィック型または非ウイルス型のマルウェアについてで、我々が悩まされる主な問題は、アンチウイルスのシグネチャ検知を回避するためのいくつかのパッカーやその類です。
もちろん、あなたがTruPreventのような静的ファイルそのものよりもむしろプログラムのふるまいを監視するテクノロジーを持っていれば大した問題ではありませんが。
マルウェアは進化を続け、アンチマルウェアテクノロジーも同様に進化しています。
Pandaの最新の年次レポート(pdf)の中で説明したのは、今年は、トップのアンチウイルスベンダー達が使っているテクノロジーのいくつかをすりぬけるための方法として、古いテクニックを使ったものが増加するだろうと私が見込んでいるということでした(–> 古いウイルスの手口、ウイルスやトロイのふるまいを併せ持つものなど)。
我々は既にこの変化が起きていることを確認しています。2月初めの週に新しいウイルスが出現し、我々はそれをW32/Sality.AOと名づけました。
このよく知られたファイル感染型の新しい亜種について、なぜ言及する価値があるのでしょうか?
まず、このウイルスは、感染させるファイルを探すためにハードドライブ全体のスキャンはせず、無差別になりすぎることを避ける位十分にスマートですが、悪質なコードを実行していくつかのファイルが感染したとたん、さらにそのコンピュータで実行されるいくつかの新しいファイルを感染させることになるでしょう。
その上、PEファイルを感染させるために非常に複雑なテクニックを使っています。:
EPO(Entry Point Obscuring)型/検知を避けるためにエントリポイントを隠そうとする技術や、Cavity型(感染先ファイルの空白部分に追記するだけでファイルサイズを変えない検知を困難にするための技術)、異なる暗号化レイヤーなど…。
そしていつも同じ方法ではなく、一つのサンプルが、おそらくEPOによる感染で、一つが暗号化レイヤー、別の一つがEPOによるものだったり、Cavityと2つの暗号化レイヤーによるものだったりします。
また、もしこの方法が十分でなかった場合は、コマンドを受け取るためのIRCサーバーに接続したりします。そしてさらに、私たちのコンピュータをより多くマルウェアに感染させるために、インターネットからファイルのダウンロードを試みるでしょう。そしてiFrameタグを挿入することによって、.PHP、.ASP及び.HTMLファイルを感染させたりします(むしろ”改変する”と言いたい)。それは、Webブラウザ経由で”感染した”ファイルのいくつかを訪問する際に、脆弱性を突いて新しいファイルをダウンロードさせて実行させます。このファイルは二重のマルウェアであり、ウイルスに感染したトロイダウンローダーなのです。
ここで、私達はいくつかの古き良きポリモーフィック型で自己複製型の動きを見落としていました。W32/Salityの別の亜種が今来ました。
私達は今夜ほとんど眠れそうにないですね…。
2009年2月18日水曜日
昔は良かった?
Luis Corrons (PandaLabsテクニカルディレクター)