涔愯儢浠ｈ喘鍏嶄唬鐞嗙増

　Portable Executable∈PE∷ファイルインフェクタウイルスを斧かけることは润撅に紊くあることだ。RAWファイルシステムを沸统したファイルインフェクタ、このケ〖スでは≈Master Boot Record∈MBR∷ファイルシステムインフェクタ∽は、もう警し牧しい。

　これには、PEインフェクタの数が侯喇の恬拆さが警なく、そしてより动盖で、倡券やコントロ〖ルがより推白だからという妄统もある。滦救弄にMBRインフェクタはより剩花で、サイズは62セクタ∈7C00H∷に嘎年されている。またエラ〖の途孟も警ない。すなわち、MBRファイルシステムインフェクタでの井さなミスやバグは、システムを弹瓢稍墙にするのだ。

　よって、いくつかの痰瘟ファイル鼎铜ネットワ〖クによって芹邵されているらしい≈Trojan:W32/Smitnyl.A (98b349c7880eda46c63ae1061d2475181b2c9d7b)∽のようなMBRファイルシステムインフェクタは、办つのPortable Executableシステムファイルを筛弄にしているだけであっても、そしてその炊厉が办忍のウイルスファイルインフェクタと孺秤して帽姐であっても、孔庐に尸老することは擦猛があると蛔われる。

　≈Smitnyl.A∽は呵介に、RAWディスクアクセスを拆してMBRを炊厉させる。肌にそれを、ファイルインフェクタル〖チンを崔む碍罢あるMBRで弥き垂える∈セクタ〖32に瘦赂される∷。

茶咙1□2¨オリジナルのMBRを惧今き。パ〖ト1∈惧∷とパ〖ト2∈布∷
1: Overwriting original MBR

　なぜMBRファイルシステムインフェクタなのか々　おそらくは、それがWindows File Protection∈WFP∷をバイパスすることができるからだろう。WFPはプロテクトモ〖ドで瓢侯しているので、もし弥き垂えられれば、すべてのWFP瘦割ファイルは篓郝にリストアされる。

　インフェクタペイロ〖ドがサイズA00Hでセクタ39から倡幌される办数で、オリジナルのMBRはセクタ5に瘦赂される。このペイロ〖ドは、Windowsのクリティカルシステムファイル≈userinit.exe∽に惧今きされる。

茶咙3□4¨16渴恕による炊厉したMBR∈焊∷とオリジナルのMBR∈布∷
3: Hex view of infected MBR

茶咙5¨16渴恕によるMBRファイルシステムインフェクタル〖チン
5: Hex View MBR File System Infector Routine

茶咙6¨16渴恕によるUserinitインフェクタペイロ〖ド
6: Hex View Userinit Infector Payload

　なぜ≈Userinit∽なのか々　おそらくは、システムがスタ〖トすると极瓢弄にロ〖ンチされるプロセスの办つであり、システムスタ〖ト箕にマルウェアが极瓢弄に悸乖材墙になるためだろう。

　≈Smitnyl∽はブ〖トシ〖ケンスの呵介のステ〖ジから、Userinitを炊厉させる。これはMBRが0x7C00にロ〖ドされる狠、パ〖ティションテ〖ブル、さらにはブ〖トセクタのstarting offsetからアクティブパ〖ティションを卢年する。

　肌にマシンのファイルシステムタイプをチェックする¨

茶咙7¨ブ〖トセクタタイプの卢年
7: Determine Boot Sector Type

　NTFSファイルシステムが斧つかれば、マスタファイルテ〖ブル∈MFT∷を豺老し、∈MFTが赖しく豺老されると簿年して∷ディスク柒の≈Userinit∽の栏デ〖タを澄年するため、$ROOT (.)ファイルレコ〖ドの掳拉を粕んで$INDEX_ALLOCATION掳拉を玫す。≈Smitnyl∽は、userinit.exeが弥かれている、$ROOTからSystem32ディレクトリまでWindowsのパスをチェックする。

茶咙8□9¨Userinit.exeの疤弥を泼年する。パ〖ト1
8: Locate Userinit.exe, Part 1

　このマルウェアは、userinit.exeファイルを斧つけるのに≈get_userinit_data_content_addr∽ル〖チンを蝗脱し、肌にExtended Write Function∈ファンクションナンバ〖 ah = 43H∷を蝗脱して、セクタ39でインフェクタペイロ〖ドを今き哈む。userinit.exe炊厉ル〖チンの粗、票マルウェアはoffset 0x28で炊厉マ〖カの赂哼も∈稿からより拒しく∷チェックする。

茶咙10□11¨Userinit.exeの疤弥を泼年する。パ〖ト2
10: Locate Userinit.exe, Part 2

　マシンが炊厉したMBRとともに、うまくブ〖トされると、userinit.exeは炊厉され、极瓢弄にロ〖ンチされるはずだ。炊厉したuserinit.exeを澄千する办つの数恕は、ファイルプロパティのチェックだ¨

茶咙12□13¨userinit.exeプロパティ。オリジナルと炊厉したもの
userinit.exe Properties, original

　宫いなことに、般いはかなり汤球だ。

　16渴山绩で、炊厉したファイルを斧てみよう¨

茶咙14¨炊厉したUserinit
14: Infected Userinit

　インフェクタル〖チンが、炊厉させる涟に炊厉マ〖カ0x55AAをチェックすると回纽したことを蛔い叫されるだろうか々　ではこれが悸乖される狠、部をしようとするのだろうか々　肩妥なペイロ〖ドはセクタ45にある、エンコ〖ドされた悸乖ファイルをロ〖ンチすることだ¨

茶咙15¨セクタ45のエンコ〖ドされた悸乖ファイル
15: Encoded Executable File at Sector 45

15: Encoded Executable File at Sector 45

　これはデコ〖ドを倡幌し、呵姜ペイロ〖ドをロ〖ンチする涟に、いくつかの洁洒を乖う¨

• 360safeアンチウイルスの赂哼をチェックする。もし斧つかれば、360safe IEブラウザプロテクションが痰跟にされる。

茶咙16¨360safe IEプロテクションˇレジストリキ〖チェック
16: 360safe IE Protection Registry Key Checking

16: 360safe IE Protection Registry Key Checking

• 簿フォルダに刀のexplorer.exeを侯喇する。これは、デコ〖ドされた悸乖ファイルだ。

茶咙17¨デコ〖ドされた悸乖ファイルによる刀Explorer
17: Fake Explorer with Decoded Executable

茶咙18¨デコ〖ドされた悸乖ファイルによる刀Explorer
18: Fake Explorer with Decoded Executable

• デコ〖ディング稿、ShellExecuteを蝗脱して≈%temp%\explorer.exe∽がロ〖ンチされる。これは炊厉を保すデコイとして脱いられる。票箕に、≈Winexec∽を蝗脱して塑湿の≈explorer.exe∽が悸乖される。

刀の≈explorer.exe∽を悸乖し、オリジナルの≈explorer.exe∽をロ〖ンチ
19: Execute fake explorer.exe and launch original explorer.exe

19: Execute fake explorer.exe and launch original explorer.exe

　洁洒が姜位すると、ペイロ〖ドがロ〖ンチされる。

茶咙20¨呵姜ダウンロ〖ダペイロ〖ド
20: Final Downloader Payload

　宫いにも、この呵姜ペイロ〖ドには部ら泼侍なところは痰い。帽なるダウンロ〖ダだ。炊厉した≈userinit.exe∽は、360safeのIEブラウザ瘦割を痰跟にし、それによりダウンロ〖ダがリモ〖トサ〖バ〖≈http://[...]∽からファイルを艰り叫すことが材墙になる。

抨蛊はLow Chin Yickによる。

′′付矢へのリンク

≈MBRファイルシステムインフェクタ∽の尸老

トラックバックURL

≈MBRファイルシステムインフェクタ∽の尸老

≈クアラルンプ〖ル券∽カテゴリの呵糠淡祸

≈by¨レスポンスチ〖ム∽カテゴリの呵糠淡祸

トラックバックURL