リモートアドミンツールによる個人情報漏洩 3

2006年1月にハッカージャパン誌に寄稿した記事です。初稿にほとんど修正を加えず掲載しておりますので、古い情報であることにご注意ください。 
偽装ファイルによるRATサーバの隠蔽例

マルウェアに感染させるために「偽装ファイルを作成→流通させる」とうのはよく行われる手口であるが、それらファイルは、Webサイト、P2Pファイル共有ネットワーク、そしてメッセンジャーなどを介してコピーがコピーを生み、ファイル自体が人気の高いものであれば、広まる速度も速い。

ターゲットとなる一般ユーザーへマルウェアを実行させるためによく利用されるのが、不正なソフトウェアのコピー、つまりWarezコミュニティである。シリアルナンバーを生成するKeygenや、アプリケーションのCrackパッチといったexeファイルに、Binderと呼ばれるexeファイルの結合ツールを用いて、RATサーバなどを結合させておけば、ユーザが実行する可能性が高いからだ。もちろん不正コピープログラムそのものも危険である。

前述したように、RATサーバが主要なアンチウイルスソフトで検出されなければ、ユーザはウイルススキャン後に、これらのexeファイルを実行してしまう危険性が高く、また実行したプログラム（結合されたプログラム）が正常に動作すれば、RATの存在に気がつく可能性も低いだろう（アンチウイルスソフトがRATを一切検出できなかった場合）。

実例として、現在も中国の0dayサイトなどで配布されている、あるアプリケーションのKeygenに結合されたRATサーバ（今回取り上げているBifrostの改変版）を紹介しておこう。このKeygenは、国内でメジャーな2つのアンチウイルスソフトのいずれにおいてもスキャンでは検出されず(執筆時点で）、実行するとKeygenは正常に動作する。しかし、裏ではRATサーバのインストールを完了してクラッカーのRATクライアントへの接続を開始している。
こういったマルウェアが、さらにBitTorrentなどのP2Pファイル共有ネットワークなどへ流れていくことで、感染するコンピュータを増やしている。

■図6：Keygenは正常に起動するが、裏ではRATサーバのインストールが完了し、クラッカーのアドレスへの接続要求を行っている。

■図7：RATサーバ名は「csrss..exe」。ピリオドを一つ増やしている。

■図8：Keygenのプロセスの下にIEのプロセスがあることがわかるが、クライアントはIEを起動していない。前述したFWB(ファイヤーウォールバイパス機能）によってIEの通信になりますましている。

■図9：レジストリの改ざん。ActiveXスタートアップでシステム起動時、プログラム（RATサーバ）が実行されるよう改ざんされている。