ラスベガスから年に一度のご挨拶の時期が来た。そう、Black HatとDEF CONが開催される週だ。

black hat 2012

  今回、DEF CONは20周年を迎える。Jeff Mossが組織したヴェガス初のハッカーパーティは、1992年夏に開催された。

  私は1992年にはヴェガスにいなかった。DEF CONへの初参加は1999年のDEF CON 7だった。

  それで、1992年の夏に、自分がどこにいたか、そして何をしていたかを考え始めた。アーカイブを調べたところ、1992年の夏は、初のWindowsウイルスの分析を行っていたことが分かった。その前には、我々はMS-DOSおよびMacのマルウェアに時間を費やしていた。

  以下はエフセキュアの「Update Bulletin 2.06, 1992」で公開された報告だ:

WinVir - 真の警報

  エフセキュアはWindowsに特化した初のコンピュータウイルスを分析した。Windows NEファイルであり、Windowsアプリケーションに対してダイレクトアクションメソッドを使用することを確認している。同ウイルスは通常のDOSアプリケーションには影響しない。ウイルスサンプルはスウェーデンから受けとったものだ。ウイルスの正確な発祥地は分かっていない。

  予備的な分析の結果は以下の通り:
  • 同ウイルスは、Windows EXEファイルのみ感染させる
  • 「Virus_for_Windows v1.4」および「MK92」というストリングがコードに埋め込まれている
  • 同ウイルスはWindowsアプリケーションのみを感染させる。感染したアプリケーションを実行する際に感染が発生する。
  • ウイルスによって使用される感染メカニズムの結果、感染ファイルは最初のダブルクリックではなく、二度目のダブルクリックでのみ開始される。ウイルスはWindowsユーザの主要な脅威とはならない。これはあまり効率的な感染ではなく、データを損なおうとはしない。
  感染の手順:
1. 感染したアプリケーションが実行されると、ウイルスが起動する。
2. ウイルスが、MS-DOS INT 21h、AX=4E、4Fサービスを使用するデフォルトディレクトリから、感染に都合の良いファイルを探す
3. 標的が見つからない場合、INT 21h、AX=4C00のコールで実行が終了する。実際のWindowsアプリケーションは実行されない。
4. 標的が見つかった場合は、一つひとつオープンされ、タイムスタンプがメモリで保存される。
5. MZとNEのヘッダがチェックされる。
6. 値のいくつかがNEのヘッダからチェックされる。
7. アプリケーションの中央に、ウイルスコードが追加される。
8. 置き換えられたコードがアプリケーションの末尾に移動される。
9. NEヘッダのCS:IPがウイルスコードの冒頭を示すよう変更される。
10. ウイルスがオリジナルファイルからそのコードを削除し、それを機能状態にリビルドする。
11. 実行が終了する。

  その他の初見:

  • ウイルスコードの実行後、オリジナルのアプリケーションは実行されない。これはダブルクリックの失敗と思われる。新しいファイルへの感染に成功すると、ウイルスはオリジナルファイルをリビルドするため、オリジナルのアプリケーションを次に実行しようとする試みは成功する。
  • 感染ファイルは854バイト増加する。
  • 感染は標的アプリケーションファイルのタイプスタンプを変更しない。
  • ウイルスは暗号化されていないか、いかなる形であれ保護されていない。
  • アクティベーションルーチンは見つかっていない。
  • 感染アプリケーションの名称と、感染ファイルの名称は、ウイルスコードに保存されている。
---------------------------

  わぁ。全部まとめてサイズ854バイトのWindowsマルウェアとは。本当に時代は変わった。

サインオフ
ミッコ