我々はマルウェアとの戦いで、かなりオートメーションと仮想化に依存している。我々の敵であるマルウェア作者たちはこれを知っており、しばしば我々のバックエンドシステムで処理されぬよう、新しい戦術を採用する。
とりわけ一般的な脅威の一つに、ZeuSと呼ばれる「バンキング型トロイの木馬」がある。過去に我々は、積極的なアンチデバッグ技術の結果、低速なコンピュータには感染しない可能性のあるZeuS亜種について書いたことがある。
さて、我々は今日、新しいZeuSの亜種を分析し、それがWindowsレジストリからオーディオカードの存在を探すことで、環境が「ノーマル」かどうかをチェックすることを発見した。
チェックされるエントリは:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SW{96E080C7-143C-11D1-B40F-00A0C9223196}
エントリが見つからなければ、それは無限再帰に入ることでスタックオーバフローを作りだす。このようなことを行う可能性が高いのは、アンチ仮想化の手段としてだ。たとえば、それはVMwareの一部標準構成で動作しない。我々(そしておそらく他の多くのAVベンダ)は、オートメーションで標準的な可視化ソフトウェアを使用していない。しかしこれは、銀行のセキュリティに携わる人々のようなアナリストには歯がゆいことだろう。
以下はこの亜種のSHA1だ:73a7c4af7f0d9bc28e1a9f9c293009515dbb65ad
Analysis by — Marko and Mikko S.
とりわけ一般的な脅威の一つに、ZeuSと呼ばれる「バンキング型トロイの木馬」がある。過去に我々は、積極的なアンチデバッグ技術の結果、低速なコンピュータには感染しない可能性のあるZeuS亜種について書いたことがある。
さて、我々は今日、新しいZeuSの亜種を分析し、それがWindowsレジストリからオーディオカードの存在を探すことで、環境が「ノーマル」かどうかをチェックすることを発見した。
チェックされるエントリは:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SW{96E080C7-143C-11D1-B40F-00A0C9223196}
エントリが見つからなければ、それは無限再帰に入ることでスタックオーバフローを作りだす。このようなことを行う可能性が高いのは、アンチ仮想化の手段としてだ。たとえば、それはVMwareの一部標準構成で動作しない。我々(そしておそらく他の多くのAVベンダ)は、オートメーションで標準的な可視化ソフトウェアを使用していない。しかしこれは、銀行のセキュリティに携わる人々のようなアナリストには歯がゆいことだろう。
以下はこの亜種のSHA1だ:73a7c4af7f0d9bc28e1a9f9c293009515dbb65ad
Analysis by — Marko and Mikko S.
