パスワードを忘れた? アカウント作成
304205 story
セキュリティ

セキュリティソフトに含まれるファイルを悪用したマルウェア 26

ストーリー by headless
ややこしい 部門より

あるAnonymous Coward 曰く、

シマンテックは、Kingsoft Internet Securityの「WebShield」モジュールを悪用してInternet Explorerのスタートページを書き換えたり、特定のドメインへのアクセスを広告サイトにリダイレクトしたりするマルウェアを発見した(Symantec Connectの記事)。

これはWebShieldの設定がテキスト形式のファイルに書き込まれていることを悪用したもので、設定ファイルを置き換えてリパッケージングしたトロイの木馬として配布されているようだ。すべてのモジュールは正しく署名されており、その他の機能は正常に動作するため、インストールしてしまうと発見するのが困難になる。セキュリティソフトとマルウェアが紙一重、という点でなかなか興味深い話といえそうだ。

なお、キングソフトのアナウンスによれば、「Kingsoft Internet Security日本語版」には該当するモジュールが含まれないということだ(サポートからのお知らせ)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • セキュリティソフトのファイルを組み合わせて開発されたウィルス登場 [mycom.co.jp]という記事は削除されていますが、信頼済みのソフトウェアを悪用する不正行為 | Symantec Connect [symantec.com]に記事がありました。

    このマルウェアの作成者は独自のトロイの木馬コードを使うのではなく、変わった手法で悪質なパッケージを作成していました。KingSoft Internet Security の一部のコンポーネントを利用し、ブラウザ保護ソフトウェアである KingSoft WebShield で構成されるパッケージを作成していたのです。このパッケージには、KingSoft WebShield の正常な動作を実現するための設定ファイルが含まれていますが、その同じ設定ファイルが、独自のトロイの木馬コードを使う代わりに正規のブラウザ保護パッケージを使うというマルウェア作成の手口も許してしまいます。
    (略)
    さらにこの脅威は、クイック起動のアイコンを Internet Explorer 以外すべて削除します。クイック起動に Internet Explorer が存在しない場合には、そのショートカットを作成します。これは、インターネットの閲覧に Internet Explorer しか使えないようにすることが目的と考えられます。Kingsoft WebShield パッケージは、Internet Explorer の特定の処理についてだけ機能するからです。

    また、このトロイの木馬には自動サービスとして自身をインストールする機能もあるうえに、このパッケージにはインストーラがないため、削除はかなり困難かもしれません。

    以上の点を除けば Kingsoft WebShield は正常に動作します。そのためにかえって、特定の WebShield パッケージだけが設定を変更されていることが気づかれにくくなっているようです。

    実質 Kingsoft WebShield を手玉に取ったトロイの木馬と言えそうですね。;-)

  • by Anonymous Coward on 2011年03月07日 2時24分 (#1913648)

    日本語版はバージョンが古かったりするのかね?

  • by Anonymous Coward on 2011年03月06日 19時39分 (#1913473)

    すべてのモジュールは正しく署名されており

    これエンドユーザにどうしろと?
    署名が正しいから信頼してインストールするはずだよね?
    大本の鍵が割れたってことならエンドユーザは信頼性ってものを何に頼ればいいのかな?

    • by Anonymous Coward on 2011年03月06日 20時23分 (#1913497)

      鍵は割れてないでしょ。署名済の正しいプログラムが参照する設定ファイルを書き換えているだけ。
      設定ファイルには署名されていないのだから署名の信頼性が低下した訳じゃなくて、
      署名無しの設定ファイルを元に特定のサイトに飛ばしてしまう挙動の穴を突かれたと言うこと

      親コメント
      • 挙動の穴を攻撃されたとか言うと、新しい攻撃方法みたいに見えちゃうから問題な気がする。
        これって単純に、やっちゃいけない電子署名の運用やってたって話だよね。

        バイナリは署名してました、バイナリが使う設定ファイルは署名してませんでしたっていう単純な話。
         # メール本文は署名してました、添付ファイルはしてなかったので差し替えられました、レベルの話:-P

        パッケージ全体を署名すれば良かっただけ。
        もしアップデートがあるなら、それもまるまる署名すれば良いだけ。
         # まあ、んなことエンドユーザは気をつけようがないとは思うので難しい問題ですが:-(

        親コメント
        • 設定ファイルやデータなどにも署名が必要なのは分かるが、しかし、それを徹底するのは難しい。
          今回は悪用されたのがセキュリティソフトだったので注目されているが、このパターンの穴は至る所にあると思う。
          • by Anonymous Coward

            このニュースでアイデアが広がっちゃったからね。
            暫くしたら「オンラインヘルプを見ようとしたら何故かバイアグラの販売に」とか出て来そうな。

            • 別のソフトですが、インストーラの脆弱性としてCVEに登録されていた内容をみてビックリしました。

              インストール先のパスに、インストーラがインストールしようとしているファイルと同名で、より新しいタイムスタンプのファイルがすでにある場合には、インストーラがそれを上書きしない。

              これがセキュリティ・ホールとして扱われるというのです。
              悪意のあるプログラムによって悪意のあるファイルを先に配置されていると、それをそのままソフトの一部として実行してしまう、具体的にはhtml形式のヘルプファイルに悪意のあるスクリプトを仕込まれるということなのです。
      • by Anonymous Coward

        ちょっとまて、インストールするデータ(設定亜ファイル)に署名が必要ないって事?

        それってまずくない?

        • まずいも何も設定ファイルって変更するためにあるのに、署名しちゃったら変更できないじゃん。
          インストール時や設定時に動的に変更できるように「設定ファイル」にしている訳で、
          配布時決定するような設定なら初めから実行ファイルに入れちゃうでしょう。
          設定ファイル(レジストリとかにおく設定も含め)は署名するものでは無いと思いますが。
          親コメント
        • by Anonymous Coward
          > ちょっとまて、インストールするデータ(設定亜ファイル)に署名が必要ないって事?

          動的な修正とかいろいろを考えると、そこまで徹底して署名することには問題があるかも知れません。
          まぁ、パターンデータぐらいは署名があっても良いかもしれませんが、一方で、差分アップデートとかが難しくなるわけで。
  • by mildberry (40088) on 2011年03月06日 19時42分 (#1913477) 日記
    T/O
  • by Anonymous Coward on 2011年03月06日 23時11分 (#1913582)

    安かろう悪かろうって感じですね。

    やっぱり定評のあるソフトを選択しないとだめでしょう。
    有料でも評判の悪いソフトもありますが。

  • by Anonymous Coward on 2011年03月07日 6時47分 (#1913667)
    ウイルスみたいな奴が居る時代ですから...。
  • by Anonymous Coward on 2011年03月07日 10時01分 (#1913697)
    hostsなど設定ファイルを書き変えるというのは手法としてはかなり古典的なものだと思います。
    最新の技術を追うあまりのポカなのでしょうか。
    まぁ頑張ってくださいとしか・・・・・・・・
    • by Anonymous Coward

      問題はKISが件のマルウェアをブロック出来なかったことでは?
      まともなセキュリティソフトなら設定ファイルに限らず書き換え出来ないようにしてるはずだが一体いつの時代の(ry

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...