Morto: 機能よりも神経に与えるダメージの方が大きいワーム


By アンドリュー・ブラント / Andrew Brandt
Morto.という新たなネットワーク ワームを発見したという Microsoft からの発表後、数日間は多くの人が多忙を極めました。Microsoft と弊社パートナー Sophos の両社からの Morto に関する驚くほどに綿密な記事を読むと、このワームの南アフリカでの出現は 7 月 23 日までさかのぼり、弊社のお客様のうち数社が感染し、しかも駆除を終えたにもかかわらず、このワームは先週木曜日には最高潮に達し、急速に拡大し始めたことが分かり、驚くことになりました。

しかし、こうした投稿に記載されている技術的な詳細情報は、研究者やアナリストには役立つものの、実は、感染したコンピューターのユーザーへの影響については、核心に迫っていません。そのため、ここ数日間、少し時間をかけて数台のマシンを感染させてから、実際に経験したことを皆さんと分かち合うことにしました。

結論から言うと、このワームはセキュリティ意識が高くない人のコンピューターに感染するように作成されていました。安易すぎるパスワード (詳しくは、ワームに関する Microsoft の技術記事をご覧ください) としか表現のしようのない一連のパスワードを使い、リモート デスクトップ経由で他のコンピューターへの侵入を試みて、ワーム自身をコンピューターに複製します。このワームが与える影響といえば、質が低く、推測しやすいパスワードを使っているユーザー (または企業) が Morto の犠牲となる (またはその可能性がある) ことと、ユーザーが、感染コンピューターの動作への (可逆的だが醜悪な) 変更に、本当にいらだつということが挙げられます。

Morto は (私は Morbo と呼んでいますが)、clb.dll という正規の Windows DLL のふりをするように作られたものです。そのため、同じ名前のファイルを検索して、削除しないようにしてください。こうすると、(a) 列リスト ボックスという 重要な Windows 機能が壊れるか、(b) ファイルは Windows ファイル保護によって復元されるために削除できないことが分かるか、どちらかになります。実のところ、この 2 ファイルのサイズはほぼ同じ (正規ファイルの方が若干大きめ) ですが、場所がまったく異なります。正規 DLL の場所は system32 フォルダーですが、Morto は c:\Windows のルート下に隠れます。また、上記のスクリーンショット (クリックすると拡大します) の左側にあるように、正規 DLL のプロパティにはバージョン情報も表示されます。

このワームはドライブバイ ダウンロードとして提供されるようですが、私は確認していません。感染すると、ワームは 160.rar というペイロードを取り込みます。このペイロードの拡張子は .rar ですが、PE ヘッダーの先頭に 12 バイトのジャンク データが付加された 32 ビットの移植可能な実行可能ファイルです。おそらく、スクリプトがターゲット システム上でそのジャンク データをファイルから取り除いて、ファイルを実行可能にすると思われます。しかし、これと同じ結果は、16 進エディターで Delete キーを押すだけでも得られます。

すぐに問題となるのは、現行ユーザーをコンピューターからログアウトさせる動作で、繰り返し発生します。ワームのインストーラーはレジストリに複数のロード ポイントを設定するので Windows は起動します。ただし、数分経つと、コンピューター (およびワーム) は実行されたままですが、ユーザーはログアウトされます。これは神経にさわります。この動作の後すぐにコンピューターへのログインが繰り返し試みられ、結果的にワームは 16 秒ごとなどに 54496 バイトのペイロードをインストールします。このダウンロードと RDP ログイン試行の繰り返しは、成功回数が一部であっても、ワームが感染を拡大しようとするため (できれば、繰り返し失敗してほしいですが)、そのトラフィックでネットワークがあふれる可能性があります。
このワームは DNS でドメイン dostest1.qfsl.net を繰り返し調べていることから、サービス拒否攻撃がまさにこのワームの作者の目的であることが分かりました。そこで、ドメイン WHOIS の登録データを調べたら、次のような奇妙な結果が返されました。


こうしたいわゆる個人情報サービスは新しいものでも何でもありません。ここで怪しいのは、ドメイン whoisprotectionservices.net は存在しないようなのです。このドメインは登録されていません。したがって、これは個人情報の WHOIS レコードを装った偽の WHOIS レコードです。せめて今後は「domain」の綴りぐらいは間違えないでほしいですね。

ICANN の規則によると、オフラインになっているサイトも十分に対象になるようです。また、Jiangsu Bangning Science & Technology Co. Ltd という登録業者は、登録ドメインの半数以上がマルウェアの発信源としてブラックリストに挙げられているのに、そうしたドメインを無効にする仕事をまったくしていないことが判明したのも非常にショックでした。ショックを受けたと同時に、驚きでもありました。

香港の企業がホストしている dostest1.qfsl.net ドメインは、オフラインのようです。これには体中の力が抜けました。残念ながら、ワームはそのようなことは気にしません。同時に、サブドメインがオフラインでも、ドメインはまだライブです。

Morto は正規の CLB.DLL の関数名のうちの 2 つを使っていますが、内部では SvchostLoader.dll という名前を使い、ServiceHandler と ServiceMain を追加します。

しかし、これはまだマシな方で、ワームが Explorer シェルと、Explorer シェルとやり取りする方法に加える変更ほど苛々させられることはありません。たとえば、私のテスト マシンの 1 台では、ワームによってお馴染みの左マウス ボタンのデフォルト動作が変更されました。デスクトップやフォルダーでアイコンをダブルクリックすると、デフォルトでは「開く」動作になりますが、ワームはこのデフォルト動作を「プロパティー シートを開く」に変更したのです。

このケースでは、単純な (少なくとも、XP ユーザー向けの) 修正方法を見つけました。[マウス] コントロール パネルを開き、[主と副のボタンを切り替える] チェック ボックスをオンにしてからオフにして、[OK] をクリックします。こうしたところ、少なくともシステムをリブートするまでは、マウス ボタンは通常の動作に戻りました。

ただし、ワームで変更された動作を戻せたからといって安心するのは禁物です。ワームが Explorer シェルに侵入すると、長期間、コンピューターは応答しなくなるようでした。

ワームは、レジストリ キー内部のその構成データを HKLM\SYSTEM\WPA キーの下に隠します。ここには、Windows をインストールする際に使う CD キーのハッシュ値を含め、Windows の重要な情報も保存されます。ここは、Windows 自身がレジストリのその部分を保護し、その部分のキーの削除を防いでいるという事実を考えなければ、触らない方が良い場所です。古いウイルス対策プログラムで削除されたくないデータを隠すのに適した場所です。

ワームは、感染コンピューター上の .Net インストールともやり取りするようです。.Net は新しいファイルとレジストリ キーを大量に生成します。この狙いはよくわかりません。レジストリ キーやファイルの多くはワームと何も連動しないようで、単に邪魔なだけのようです。

また、通常は実行できるディレクトリの参照も行えなくなります。[Windows] フォルダー内の [Offline Web Pages] フォルダーは、Windows の通常のフォルダーとは表示方法が異なる、こうした「マジック」フォルダーの 1 つです。

WISC や WAV などの現行世代の製品、および今後の新しいリリース (現時点では未公開のベータ版) のどちらでも、Morto によるウイルス感染は簡単に修正できます。しかし、リモート デスクトップ アカウントに対してより強力なパスワードを選べるようにはなっていません。Morto で悪用されている情報の一覧を「禁止」ガイドラインとして使用して、自分の身は自分で守る必要があります。

wordpress blog stats