It’s difficult sometimes to think what many of us did before Twitter. How did we find out about the latest breaking news on a storm, local crime, or the next backlash in the Perez Hilton / Lady Gaga feud? We used to have to wait hours for a story to be reported on T.V. or Read more…
If your son or daughter is headed off to college this month, don’t shrink back on your commitment to family safety online. Being a college freshman at 17 or 18 doesn’t mean their wisdom download is at 100% complete (far from it). The words “privacy” and “dorm” don’t often show up in same sentence but Read more…
By now, many smartphone users know that a first step to securing their mobile data is to lock their phones with some sort of passcode, the most common method being the four-digit PIN. Admittedly, a PIN code seems pretty safe and practically impossible for a human to break—considering the time it would take to manually Read more…
A new threat for the Linux platform was first mentioned on August 7th by RSA researchers, where it was dubbed Hand of Thief. The two main capabilities of this Trojan are form-grabbing of Linux-specific browsers and entering a victim’s computer by a back-door. Moreover, it is empowered with features like anti-virtualization and anti-monitoring. With the […]
Product integration reinforces combined leadership in virtualization & cloud security
You have downloaded the new avast! Mobile Security version 3. You now have a powerful tool to protect your mobile phone from malware, as well as anti-theft features in case your phone is lost or stolen. But you may be wondering, “How do I use this mobile security software to its full power for maximum […]
To celebrate the new version of our top-rated avast! Mobile Security along with the new avast! Mobile Premium, AVAST and Android Police are giving away 9 new Nexus devices. You have one week to enter the contest to win one of these great Android phones or tablets: 2x Nexus 4 8GB 2x Nexus 4 16GB + bumpers + charging orb (2 bundles) […]
シマンテックは長い間、W32.Changeup シリーズのワームに対する取り組みを続けており、このブログでも今までに何度となくお伝えしてきました(参照 1、参照 2)。
図 1. W32.Changeup.C の発生状況
W32.Changeup は Microsoft Visual Basic 6.0 で記述されており、そのプログラムコードのうち感染機能を担う部分が、不明瞭化されてはいるものの、プログラムファイル中で見えているという特徴があります。ところが、W32.Changeup の歴史で初めて、ファイルのプログラムコード中で感染機能の部分が見えない新しい亜種が発見されました。
プログラムファイルはネイティブコード(Intel X86 のコード)で作成されており、起動オブジェクトは ‘Form605’ に設定されています。
図 2. X86 命令で書かれたプログラムファイルの起動コードが見える
このコードを実行すると、一度プログラムが実行されたメモリは完全に上書きされます。
図 3. プログラム中の起動コードがメモリに
置き換えられるプログラムも Visual Basic 6.0 で作成されていますが、これは P コード(擬似コード)で作成されており、起動オブジェクトは ‘Sub Main’ です。
メモリ上のプログラムは純粋な W32.Changeup であり、不明瞭化されていません。接続先のドメイン名を除いて文字列はまったく暗号化されておらず、冗長な文字列連結もありません。
図 4. ベア文字列がグローバル変数文字列 Me(204) と Me(860) にコピーされる
この例でグローバル変数にコピーされるのは、’connect’ と ‘CreateToolhelp32Snapshot’ というベア文字列です。このような純粋な形の W32.Changeup は、長らくお目に掛かっていません。作成者は、プログラムファイルで見えなくなるので、もう文字列を隠す必要もないと考えたようです。もちろん、冗長な文字列結合や無意味な API 呼び出しなど、他の不明瞭化方法もメモリ上では必要ありません。
W32.Changeup は以前と同じように機能しますが、ポリモーフィズムに関しては例外です。1 つ前の世代の W32.Changeup は強力なポリモーフィズムの機能を備えていました。ダミーのフォーム名などとして使われる 3 つのランダムな文字列を置き換え、プログラムファイル中では新しいランダムな文字列で出現するため、複数の相違がある新しいファイルが生成されていました。たとえば、Visual Basic のフォームとモジュールを作成するそのような文字列がどこに置かれていても、この置き換えはファイルに影響します。ウイルス定義でこのような可変文字列を網羅したとしても、サンプルから派生した亜種を検出することはできません。セキュリティの専門家がポリモーフィックワームに特に注目してきたのも、これが理由です。
最新版の W32.Changeup は、この強力なポリモーフィズム機能を捨て去っています。自身をコピーするときに、文書ファイルや画像、動画に偽装するために、プログラムファイルの resource セクションでアイコンを変更するだけです。
図 5. W32.Changeup が偽装のために使うアイコン(低画質である点に注意)
シマンテックは、これらのファイルを W32.Changeup!gen44 として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
We have been fighting the W32.Changeup family of worms for a long time and have written about it many times
Figure 1. W32.Changeup prevalence
One characteristic of W32.Changeup is that it is written in Microsoft Visual Basic 6.0 and th…
Recently one of my daughter’s friends shared a silly (and unflattering) video of her on Snap Chat as she imitated a crazy dance they were both watching on a popular TV talent show. When my daughter told the friend “you better not post that!” the request was ignored. The 10-second video was sent to several Read more…