攻撃者は,あちこちのパソコンに次々にボットを仕込む一方で,一度支配下においたパソコンからなるべくボットを排除されないようにさまざまな手を使う。対策をすり抜け,ボットを動かし続ける攻撃者の手口を紹介しよう。
ウイルス対策ソフトの動作を妨害
ボットを仕込んだあとこれを発見されないようにするために,攻撃者は「ウイルス対策ソフトのプロセスの停止」,「ウイルス・パターン・ファイルの更新妨害」,「ルートキットの埋め込み」,「難読化」,「モジュール化」といった手口を使う。これらはすべてボットに組み込まれている。
ウイルス対策ソフトのプロセスの停止は,米シマンテックのNorton AntiVirusやトレンドマイクロのウイルスバスターなどのプログラムがパソコン上で稼働しているのを見付けた場合,強制的にこれを停止するというものだ。
ウイルス・パターン・ファイルの更新妨害は,パターン・ファイルのダウンロード先のサーバー名に全く関係のないIPアドレスに関連付けておくことで,更新を成功させないというもの。具体的にはダウンロード先のサーバー名(URL)とでたらめなIPアドレスを関連付けてHostsファイルに書き込む。Windowsは名前解決の際,DNSサーバーではなく先にHostsファイルを参照するので,正規のサーバーにつなげなくなる。
APIやOSコールを改ざんし姿を消す
ルートキットを埋め込むのは,ユーザーやウイルス対策ソフトからボットの存在などを隠すためだ。ルートキットはOSのシステム・コールやアプリケーションのAPIの呼び出しを横取りして,偽の結果を返す機能を持つソフトウエアの総称。偽の結果をウイルス対策ソフトや管理用のアプリケーションに返すので,パソコンの中にボットのプロセスがいないかのように見える。例えば,ウイルス対策ソフトはハード・ディスクの入出力データを検査することでウイルスを見張っている。ルートキットがこの入出力情報を改ざんすれば,ウイルス対策ソフトの検知から逃れられる。
詳細は、ITproの記事本文をご覧ください。
昨日読まれたベスト5〈IT〉 最新記事一覧へ 画面先頭に戻る
- スルガ銀と日本IBMの「動かないコンピュータ」訴訟、要件定義を3回繰り返す(2008/04/25)
- 2001年にググったら? 創立10周年の米グーグルが特設サイトを開設(2008/10/01)
- 思考停止というリスク(2008/10/03)
- 「しまった!」と思う瞬間ランキング(2008/10/03)
- TVバンク、プロ野球の生中継で過去最高の同時視聴者と総視聴者を記録(2008/10/03)
IT 最新記事 記事ランキング一覧に戻る 画面先頭に戻る
- コンサル会社がiPhoneを1000台導入、国内法人で初の大口契約 (15:30)
- バーチャルコミュニケーションズがWebサイト統制SaaSに新版、レポートを強化 (15:28)
- Windowsはどうやって起動しているのか? (15:17)
- 次世代データセンター、SaaSやグリーンIT化の中核基地に (15:16)
- SAPジャパンCEO、突如交代の真相 (15:16)
- クラウドの台頭は本物か (15:14)
- 目玉調査企画の準備に苦戦 (15:12)
- 地デジラジオでサイマル放送を開始した在京AM放送3社の狙い (15:10)
- Androidや次世代PHSをいち早く体験,人体や可視光を使った通信も (15:10)
- SNS「炎上から足あと事件簿まで」、興隆時代の落とし穴 (15:10)