15/02/09 14:09:17.74 *
「UACを回避して管理者権限で実行」--不正送金ウイルスの新手口
【日経BP】 2015/02/09
セキュリティ組織のJPCERTコーディネーションセンター(JPCERT/CC)は2015年2月9日、ネットバンキングの
不正送金に使われるウイルス(マルウエア)である「Dridex」を紹介し、注意を呼びかけた。Windowsの
UAC(ユーザーアカウント制御)を回避する機能を備えるという。
Dridexは、ボットと呼ばれるウイルスの一種。感染するとPCを乗っ取り、攻撃者のC&CサーバーとHTTPで通信。
攻撃者の命令に従って動作するとともに、認証情報などを盗んで攻撃者に送信する。
JPCERT/CCで確認しているDridexの多くは、Word文書のマクロ機能に潜んだウイル
2:ス(マクロウイルス)によって ダウンロードおよび実行されるという(図1)。 http://itpro.nikkeibp.co.jp/atcl/news/15/020900463/fig1.jpg 図1●「Dridex」の感染過程(JPCERT/CCの情報から引用) ウイルスがPCを完全に乗っ取るには、管理者権限を奪う必要がある。だが、Windows Vista以降ではUACという セキュリティ機能が備わっているため、勝手に管理者権限を奪うことができない。そこで一部のウイルスには、 UACを回避する機能が組み込まれている。以前から、UACを回避する手法は存在するが、今回紹介された Dridexでは、新しい手法を備えているという。 従来の手法では、Windowsのシステムプログラムを悪用する(図2)。例えば「PlugX」では、 explorer.exeのような、信頼できる企業・組織にデジタル署名されているプログラムと、sysprep.exeのような 自動昇格プログラムを組み合わせて、ウイルスを管理者権限で実行させるという。 http://itpro.nikkeibp.co.jp/atcl/news/15/020900463/fig2.jpg 図2●従来のUAC回避手法(JPCERT/CCの情報から引用) Dridexの新手法では、「アプリケーション互換性データベース」を用いる点が特徴。 アプリケーション互換性データベースとは、互換性に問題のあるアプリケーションを実行する際のルールを 設定するファイル。拡張子はsdb。 新手法では、次のようにしてUACを回避する(図3)。 http://itpro.nikkeibp.co.jp/atcl/news/15/020900463/fig3.jpg 図3●新たなUAC回避手法(JPCERT/CCの情報から引用) (1)Dridexが、アプリケーション互換性データベース($$$.sdb)、バッチファイル($$$.bat)、Dridexの コピー(edg3FAC.exe)を作成する。 (2)アプリケーション互換性データベースのインストール・アンインストール用コマンド「sdbinst」を 使用して、$$$.sdbをインストールする。 (3)iSCSIイニシエータのコマンドラインツール「iscsicli」をDridexが起動。$$$.sdbの設定に従って、 iscsicli.exeが$$$.batを管理者権限で実行する。 (4)$$$.batがedg3FAC.exeを管理者権限で実行する。 以上が可能になるのは、sdinst.exeやiscsicli.exeのような自動昇格プログラムは、プログラム起動時にUACの 警告を表示することなく管理者権限に自動的に昇格するためだという。 JPCERT/CCでは、今回紹介した新手法は従来の手法によりもシンプルなので、今後Windowsの仕様が 変更されたとしても、継続して用いられる可能性があるとしている。また、Dridexだけでなく、別のウイルスで 使われていることも確認しているという。 ソース: http://itpro.nikkeibp.co.jp/atcl/news/15/020900463/
3:名無しさん@1周年
15/02/09 14:11:39.18 /jKi5XoV0
差別やらを無くしたかったら
約70年前の、日本の非情な邪悪で残虐な所業を
謝罪してから考えろよww
旧日本軍による「慰安婦強制凌辱」とか「うん千万規模の南京大量殺害」とかは
代表の今上平成天皇なりの公開全裸土下座謝罪無しの現状は
同じ日本人として恥ずかしいし、中韓の被害者達に申し訳なく思うわ
やっぱ、俺達日本人は醜悪で邪悪だと思うね
俺達日本人に比べたら、ユダヤやISISなんかは
日本民族と比べたら邪悪でも何でもないわ
その血が俺にも混じってると思ったら
掻きむしって邪悪な血を全部出してやりたいわ
4:名無しさん@1周年
15/02/09 14:14:02.75 zoKyUxUc0
サザエさんでたとえて風呂敷包み背負った泥棒とか登場させて
俺にもわかるようにカモン
5:名無しさん@1周年
15/02/09 14:14:13.13 66FQkOLa0
>>1
こういうの読んでもさっぱり分からん。
ガンダムで三行でって書くとジジイ死ねって言われる。(´・ω・`)