Windowsの「God Mode」を悪用して実行ファイルを隠蔽するマルウェア、名前に予約語を使って削除も回避 9
ストーリー by headless
秘密 部門より
秘密 部門より
WindowsのCLSID(GUID)の中にはフォルダー名に拡張子として設定することで、特殊なフォルダーやコントロールパネルなどとして機能させることができるものがある。この機能を悪用して、攻撃用のファイルを隠蔽する「Dynamer」と呼ばれるマルウェアが出てきているそうだ(McAfee Labs Blogの記事、
Softpediaの記事)。
こういったCLSIDとしては、コントロールパネルの全ページをまとめた「God Mode」と呼ばれるフォルダーを作成可能な「{ED7BA470-8E54-465E-825C-99712043E01C}」がよく知られている。特殊なCLSIDを拡張子に設定したフォルダーをエクスプローラー上でダブルクリックすると特殊フォルダーやコントロールパネルが開かれ、フォルダーの内容にアクセスすることはできなくなる。ただし、フォルダーに格納したファイルのパスを直接指定すればアクセスは可能だ。Dynamerはこれを悪用して実行ファイルを隠し、レジストリの「HKCU\SOFTWARE\Microsoft\Windows\run」にパスを指定してログイン時に自動実行するのだという。
Dynamerは「%appdata%」フォルダー(C:\Users\<ユーザー名>\AppData\Roaming)に「com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}」という名前のフォルダーを作成し、実行ファイルを格納する。このCLSIDはコントロールパネルの「RemoteAppとデスクトップ」に該当するものだ。フォルダーのベース名が「com4」となっているのは、簡単に削除できないようにするためだという。「com4」はエクスプローラーやコマンドプロンプトからデバイス名として扱われるので、この名前のフォルダーは削除できない。
ただし、UNCパスでフォルダーを指定すれば「rd」コマンドで削除することは可能だ。つまり、コマンドプロンプト上で「rd \\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B} /s /q」のように入力して実行すれば削除できるとのことだ。
こういったCLSIDとしては、コントロールパネルの全ページをまとめた「God Mode」と呼ばれるフォルダーを作成可能な「{ED7BA470-8E54-465E-825C-99712043E01C}」がよく知られている。特殊なCLSIDを拡張子に設定したフォルダーをエクスプローラー上でダブルクリックすると特殊フォルダーやコントロールパネルが開かれ、フォルダーの内容にアクセスすることはできなくなる。ただし、フォルダーに格納したファイルのパスを直接指定すればアクセスは可能だ。Dynamerはこれを悪用して実行ファイルを隠し、レジストリの「HKCU\SOFTWARE\Microsoft\Windows\run」にパスを指定してログイン時に自動実行するのだという。
Dynamerは「%appdata%」フォルダー(C:\Users\<ユーザー名>\AppData\Roaming)に「com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}」という名前のフォルダーを作成し、実行ファイルを格納する。このCLSIDはコントロールパネルの「RemoteAppとデスクトップ」に該当するものだ。フォルダーのベース名が「com4」となっているのは、簡単に削除できないようにするためだという。「com4」はエクスプローラーやコマンドプロンプトからデバイス名として扱われるので、この名前のフォルダーは削除できない。
ただし、UNCパスでフォルダーを指定すれば「rd」コマンドで削除することは可能だ。つまり、コマンドプロンプト上で「rd \\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B} /s /q」のように入力して実行すれば削除できるとのことだ。
コマンド プロンプトで (スコア:2)
そんなに簡単に悪いことはできないみたいだ。
Re: (スコア:0)
作る方も md \\.\%appdata%\com[1-9] でできる。
あと、「UNCパスで」というのは文字通りの意味で、ネットワーク共有経由だと com[1-9] も普通に作れる(しかし作られたローカル側からは簡単に削除できない)というバグだか仕様だかわからないような動作がある。
Windows 10 Anniversary Updateなら、bashから作る/消すという手もあるな。
Re: (スコア:0)
う!
とりあえず
sudo rm -rf /
してみな
とか言い出すバカと騙されるバカがまた湧きそうだな
この間ネタになってたから警告無視してやらかすバカは少ないと信じたいけど
それらしく# *com[0-9]とかつけてると#がコメントアウトだと知らない層は騙されそうだし
GodMode関係ないじゃん (スコア:0)
なにがなんでもMS叩かないといけない人?
古のconcon問題再び (スコア:0)
すらどの諸兄であればリンクは不要だろう
他にも手口色々あるよ (スコア:0)
親フォルダへのシンボリックリンクよる循環参照をすると、なぜかexplorer.exe内で検索をかけても見つからないようになるバグがあったけど、それと同じぐらい恐ろしいですね。
あと、地味に文字列の方向を右から左に変えて「a.exeを」を「exe.a」に見せちゃうやつとか、併用されると恐ろしい。このへんの対策もぜひウイルス対策ソフトに頑張ってもらいたい。
あと、*.comって*.exeと同等の実行可能ファイルだよね。
Re: (スコア:0)
MS-DOS/Win9X 系では実行ファイルの拡張子だが NT系の Windows の場合は、そうなってない。
exe と com はファイルフォーマットも違うし、ロード/実行の流れも違う。
Re:他にも手口色々あるよ (スコア:2)
そうなんですか?
*.exeを*.comに拡張子を変更しても動いてしまうことが「同等」ということです。
Re:他にも手口色々あるよ (スコア:1)
.pptでも.docでも.xlsでもオッケーで、果ては.txtでも実行されたらどうしよう。
// 64bit環境だったら .com は動かないと信じている人にも救済策を。