RSS Feed  Twitter  
|
Articles - Malware
不審なファイル(マルウェアが混入している可能性が高いもの)をチェックする際やマルウェア検体のチェック時などに、VMwareやVirtualBoxといった仮想環境を利用する機会は少なくないが、ここ数年にリリースされた、RATなどのマルウェアを生成するビルダーにはアンチ機能などのオプションが用意されていることが多い。
アンチ機能の主な目的はVMwareやVirtualBoxといった仮想環境でマルウェアが解析をされることを拒むためと考えられるが、最近ではこれに加え、Wiresharkに対するアンチ機能オプションを備えたマルウェアビルダーが増加している。
どのような動作をするのか、試しに、Wiresharkを実行中のパソコンで、オプションを有効にして生成したマルウェア(Downloader)を実行したところ、エラーとなりマルウェアは動作しなかった。多くの検体でテストしたわけでないが、どうやらWiresharkの実行ではなく、Wiresharkがインストールされたパソコンではオプションを有効にしたマルウェアは実行されないようだ。また、他にも図のように、Tcpviewのアンチ機能などが備わるケースもある。

anti2
anti3

特定の環境でマルウェアが実行されないからといって安心してしまうのは危険だろう。 また、こうしたビルダーでは、その他、拡散機能として、USB経由でのマルウェア拡散(USBフラッシュメモリや外付けリムーバブルディスク等)機能、LimewareなどのP2Pファイル共有ネットワーク経由でのマルウェア拡散といったオプションが用意されているケースも増加している。

|