土曜日, 5月 29, 2010

マルウェアのモジュール仕組み(更新情報)

マルウェアの技術が毎日開発をされて段々とレベルアップになります。
10年前と比べたら現在マルウェアの仕組みがもっと広くなり、感染仕組みもクラインとサーバ経由になってしまいます。昔のnetskyウイルスと比べたら現在のマルウェアがもっとアドバンスと見えます。

大きい変わる所は前回のマルウェアは殆ど1つ「stand-alone」バイナリーの形でしたが最近のマルウェアなのはモジュールの仕組みになってしまいます。例えば、前回偽「scvhost.exe」マルウェア、など)。今回マルウェアは同じ悪戯目的だけど3つや4つファイルに別れてしまいます。それぞれのファイルは別々のマルウェア関係の機能を持って、全てファイルのセットが揃えたらマルウェア仕組みが始めます。

下記マルウェアモジュール仕組みの全体イメージ↓


何故はマルウェア技術がモジュール仕組みになったかと、
①マルウェア対策製品の検知しにくいの為、
②「システム情報」と「マルウェア対策ソフト情報」のチェックし、チェック結果による次のセットマルウェアファイルが来ると

実は「マルウェアのモジュール仕組み」どんな物かと?
つい最近の情報があり、Windows7の「/Windows/SysWOW64」のフォルダーであやしいファイルが発見されました、ファイル名は「netset.exe」ですが、本当「netset.exe」じゃないです。直ぐにvirustotalにチェックしたら結果はマルウェアじゃないでした。おかしいと思われてthreatexpert.comとiseclab.orgにサンプルも送りましたが、結果も同じくマルウェアでは無いと。疑わし状況になったので、「netset.exe」ファイルを「disassembler」でデバグされました、「disassembler」結果では2件疑わし動きが発見されまして、下記の説明です↓

1)あるパラメータを入れたら、このバイナリーはシステム情報を貰って、情報結果次第でシステム関係ファイル(dtnet.exe, plang.enu, dsten.log)を削除しプログラムはそのままで終了してしまいます。下記はコードの画像↓


2)別のパラメータで実行したらパソコンWindowsのレジストリーでマルウェア製品名を検索されます。具体的には「HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Uninstall」の項目を見てavast, avg, avira, nod32, kaspersky, norton, mcafee, trend micro, comodoの単語を検索されて、見つかりましたらリターンコードが出ます。下記はコードの画像↓

では1)と2)の動きを見たら、マルウェアじゃないの判断になってしまったけれどマルウェア関係のファイル可能性が高いです。問題は本件の偽「netset.exe」はネットワーク機能がありません。コマンドラインやshellでcallしないと動きません。
上記の仕組みの続きはダウンローダーの仕組み説明になり、前回のブログ内容「Twitterマルウェアのダウンローダーメッセージ」に詳細説明があります。細かいマルウェアダウンローダーコードの分散をやりましたので、理解の為に、ぜひ、ご覧下さい。

現在似たようなマルウェアモジュールのファイルが沢山流行っていますので、疑わしと思ったら直ぐに専門の方々にご連絡を下さい。
---
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

0 件のコメント:

コメントを投稿