パスワードを忘れた? アカウント作成
304205 story
セキュリティ

セキュリティソフトに含まれるファイルを悪用したマルウェア 26

ストーリー by headless
ややこしい 部門より

あるAnonymous Coward 曰く、

シマンテックは、Kingsoft Internet Securityの「WebShield」モジュールを悪用してInternet Explorerのスタートページを書き換えたり、特定のドメインへのアクセスを広告サイトにリダイレクトしたりするマルウェアを発見した(Symantec Connectの記事)。

これはWebShieldの設定がテキスト形式のファイルに書き込まれていることを悪用したもので、設定ファイルを置き換えてリパッケージングしたトロイの木馬として配布されているようだ。すべてのモジュールは正しく署名されており、その他の機能は正常に動作するため、インストールしてしまうと発見するのが困難になる。セキュリティソフトとマルウェアが紙一重、という点でなかなか興味深い話といえそうだ。

なお、キングソフトのアナウンスによれば、「Kingsoft Internet Security日本語版」には該当するモジュールが含まれないということだ(サポートからのお知らせ)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • セキュリティソフトのファイルを組み合わせて開発されたウィルス登場 [mycom.co.jp]という記事は削除されていますが、信頼済みのソフトウェアを悪用する不正行為 | Symantec Connect [symantec.com]に記事がありました。

    このマルウェアの作成者は独自のトロイの木馬コードを使うのではなく、変わった手法で悪質なパッケージを作成していました。KingSoft Internet Security の一部のコンポーネントを利用し、ブラウザ保護ソフトウェアである KingSoft WebShield で構成されるパッケージを作成していたのです。このパッケージには、KingSoft WebShield の正常な動作を実現するための設定ファイルが含まれていますが、その同じ設定ファイルが、独自のトロイの木馬コードを使う代わりに正規のブラウザ保護パッケージを使うというマルウェア作成の手口も許してしまいます。
    (略)
    さらにこの脅威は、クイック起動のアイコンを Internet Explorer 以外すべて削除します。クイック起動に Internet Explorer が存在しない場合には、そのショートカットを作成します。これは、インターネットの閲覧に Internet Explorer しか使えないようにすることが目的と考えられます。Kingsoft WebShield パッケージは、Internet Explorer の特定の処理についてだけ機能するからです。

    また、このトロイの木馬には自動サービスとして自身をインストールする機能もあるうえに、このパッケージにはインストーラがないため、削除はかなり困難かもしれません。

    以上の点を除けば Kingsoft WebShield は正常に動作します。そのためにかえって、特定の WebShield パッケージだけが設定を変更されていることが気づかれにくくなっているようです。

    実質 Kingsoft WebShield を手玉に取ったトロイの木馬と言えそうですね。;-)

    --
    モデレータは基本役立たずなの気にしてないよ
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...