今年2月に登場した「PE_VIRUX.A(バイラックス)」は高度なファイル感染型ウイルスの最新モデルともいえるウイルスだ。このウイルスの何が高度なのか、感染の仕組みから紹介していこう。
ファイルに感染する古典的ウイルス
「PE_VIRUX.A」は特に米国を中心に大きな被害が報告されている「ファイル感染型ウイルス」だ。トレンドマイクロのウイルストラッキングセンターでも、日本でこれまでに1万台弱のPCへの感染を観測している(トレンドマイクロのオンラインスキャンによる検出数と一部製品からの報告数を集計)。侵入後には外部からのリモートコントロールを可能するバックドア活動が行なわれ、情報漏えいやさらなるウイルスの侵入、新たな攻撃の踏み台になるといった被害が懸念される。
そもそも「ウイルス」という言葉は、元々はほかのプログラムに寄生して増殖する不正プログラム、つまりファイル感染型ウイルスのみを指す言葉だった。ところが、脅威の変化にともない不正プログラムは単純化の道を進み、ファイル感染型ウイルスは減少していった。そして、作成にある程度以上の技術が必要となるファイル感染型ウイルスは、トレンドマイクロで確認している不正プログラムの流通量全体の1割に満たない存在となっている。こうしたことから、現在では「ウイルス」という言葉を「不正なプログラム全般」として使うことが多くなった。
高度な感染技術を持つ
こうした状況でもいまだに登場するファイル感染型ウイルスは、全体的な傾向とはまったく逆に、高度な技術を取り入れた複雑な活動を行なうものとなってきている。これは、いかに検出・駆除を手間取らせ、長く生き残るかを目的としているからだ。
この数年間では「PE_SALITY(サリティ)」、「PE_VIRUT(ヴァイラット、ヴィルト)」などの、高度なファイル感染型ウイルスのファミリーが確認されている。これまでのファイル感染型ウイルスでは、検出や駆除を困難にさせるために、以下の技術が使用されてきた。
追記感染と感染場所
正常なプログラムファイルに、自身のウイルスコードを追記することによって感染する(図1)。この際、元のファイルの先頭にウイルスコードを追記するものをPrepend(プリペンド)型、末尾に追記するものをAppend(アペンド)型、オリジナルファイルの途中にある使用されていない領域に書き込むものをCavity(キャビティ)型と呼ぶ。
図1 追記感染の際の感染場所の違い
ポリモーフィック(ミューテーション)活動
ウイルスコードを暗号化し、パターンマッチングによる検出を困難にさせる手法を暗号化型という。そして、暗号化方式をさまざまに変化させることにより、ウイルスコードのバリエーションを増大させる手法を特にポリモーフィック型という。これらに対応するためには、ポリモーフィックエンジンと呼ばれる暗号化ルーチンを解析し、すべてのバリエーションを特定する必要がある。そのため、完全な対応には時間がかかることが多い。
EPO(Entry Point Obscuring)方式
2000年に登場したウイルス「PE_MTX」(通称:マトリックスウイルス)で初めて使用された手法。一般的なファイル感染型ウイルスでは宿主のプログラムからコントロールを奪うために、プログラムの開始点を表すエントリポイントを自身のウイルスコードの位置に変更する。
ただし、この方法ではエントリポイントが示す場所に必ずウイルスコードが存在することになり、解析者は容易にウイルスコードを特定できる。そこで、ウイルス作者はこの点を克服するため、エントリポイントを変更せず、オリジナルプログラム内にある呼び出しコード(ジャンプコード)を改変して感染する手法をとった。これがEPO方式である。これにより、ウイルスコードの特定が困難になり、検出や駆除の手間が増えてしまう(図2)。
図2 一般的なファイル感染とEPO型ファイル感染の違い
一般的なファイル感染型ウイルスは、Append方式により自身のコードを寄生させることが多い。しかし、PE_VIRUXシリーズでは、Cavity方式を組み合わせることで感染状態のバリエーションを増やしている。そのうえ、EPOの有無やポリモーフィックによるさまざまな暗号化形式を組み合わせることで、無数のバリエーションを作り出しているのだ。
この感染手法は活動の最初の段階で決定されるため、毎回異なる感染状態となる。つまり、検出と駆除はEPOの有無や暗号化の形式によって異なる対応が必要となる場合がある。
複数の検出名
トレンドマイクロでは、この複雑に姿を変えていくPE_VIRUX.Aについて、現在確認されている感染手法を解析することによって、下記の7種の検出名に分類して対応している。
| トレンドマイクロの検出名 | EPO使用 | 感染場所 | 暗号化 |
|---|---|---|---|
| PE_VIRUX.A | Cavity+Append | 複数回 | |
| PE_VIRUX.A-1 | Append | 複数回 | |
| PE_VIRUX.A-2 | Cavity+Append | 1回 | |
| PE_VIRUX.A-3 | Append | 1回 | |
| PE_VIRUX.A-4 | Append | 1回 | |
| PE_VIRUX.GEN | Append | 1回 | |
| PE_VIRUX.A-6 | Cavity+Append | 1回 |
とはいえ、この分類はウイルス側の活動とは関係なく、あくまでも検出、駆除の対応の面から見た分類だ。PE_VIRUX.Aではこの複雑な感染活動以外にも、感染後の復旧を困難にするために、Windowsのシステムファイルのバージョン確認と不適切なファイルを復元する機能(SFC.EXE)を無効化し、「winlogon.exe」などのWindowsのシステムファイルへ感染する活動も実現している。
このような高度な技術を使用したファイル感染型ウイルスに対しては、全貌の把握と対応の最適化をいかに素早く行なうかが対策のもっとも重要な部分となる。まさに、セキュリティベンダーの実力が試されるところであろう。
筆者紹介:岡本勝之
1996年、トレンドマイクロ入社。「リージョナルトレンドラボ」にて不正プログラムなどのネットワーク上の脅威全般の解析業務を担当
