| [ASECレポート 2009年10月号:サマリー] AMPの導入とDaonol (Gumblar) の再登場 | ||
|---|---|---|
| Admin | 2010-01-27 | |
|
◆悪性コード動向 2009年10月のASECレポートからは既存の顧客報告に基づいた統計値の限界を越え、現状況を正確に反映するためにAhnLabで独自開発した“AMP ”を利用して算出した統計データを使用するように改善した。 ◆悪性コード統計  [表1]悪性コード感染報告Top 20 □悪性コード イシュー ◆ Win-Trojan/Daonol の再登場 10月には「黒い画面にマウスポインタ」のみ現れる症状が現れ、システムが正常に起動されないという問い合わせが多かった。起動されないため、サンプルもまともに収集できない状況であり、このような症状がなかなか再現されない場面もあった。では今回の騒動の中心となった Win-Trojan/Daonol に対して調べてみよう。 Daonaol トロイの木馬は、5月にすでに大きなイシューとなった。悪性コードは Geno あるいは Gumblar とマスコミなどに報道された。この悪性コード名は、発見された流布 Web サイトまたは悪性コードが実際にアップロードされた Web サイト名などから由来されるものである。一般的にアンチウイルスベンダーでは Daonol と命名されている。この悪性コードの感染経路は、特定のセキュリティ脆弱性にさらされたインターネットエクスプローラと PDF および SWF 脆弱性による。したがって、ユーザーがインターネットエクスプローラや PDF 文書を使用する場合は、該当アプリケーションに対するセキュリティパッチを必ず行わなければならない。また、SWF 脆弱性もやはり、該当プレーヤーに対するセキュリティパッチを必ず行うことが重要である。この悪性コードの情報とセキュリティ脆弱性に対する案内は、アンラボホームページやブログなどで確認することができる。黒い画面にマウスポインタのみ表示されるという症状であるため、一定期間、この悪性コードに対する正確な診断名が確認できず、単にその症状のみで呼ばれたりもしていた。しかし、悪性コードの動作と暗号化された文字列を復号化してみると、5月に問題を起こした Daonol 亜種であることが分かった。  [図1]復号化された Daonol トロイの木馬内部の文字列 この悪性コードは再起動後にも自身を自動実行するように、次のレジストリキーに登録しておく。  悪性コードは先ほどに言及したように「黒い画面にマウスポインタ」のみ現れる症状と同時に、一部亜種は特定アプリケーションの実行を妨害することが報告された。これは一部の亜種による他の動作により、2種類すべて悪性コードのバであることが明らかになった。Daonol のバグは自身が動作中に ZwOpenKey、ExitProcess 関数などが呼び出されると、アプリケーションが正常に実行されず、自身をロードする際一時的に Sleep 状態に陥ることになるが、この時自身が実行されず、それ以後の起動過程も正常に実行されない。アンラボではこのような悪性コードのバグを、専用ワクチンでメモリパッチし、プログラムを正常に動作させる。同時に、プロセスごとに生成された悪意あるスレッドを除去して悪性コードがこれ以上動作することができないようにする。今月、韓国内のホットイシューだった Daonol トロイの木馬の予想外の動作のために、一部ユーザーはシステムを正常に使用できない被害を被った。ここで私たちが理解しておかなければならないことは、この悪性コードが、相変わらずセキュリティ脆弱性を利用して感染するということである。自身が使用する Web ブラウザと PDF リーダー。そして SWF 関連アプリケーションに対するセキュリティパッチへの関心を再度持つことが重要である。 [出典] AhnLab Security Emergency response Center |
||
