レジストリの掃除・最適化 Part34
最近、Delphiを標的としたマルウェアにより使用されている、興味深い動きが発見された。
同マルウェアは始めに、Delphiのバージョンが4から7までの間であるかどうかをチェックし、次に$DELPHI_DIR$\source\rtl\sys\SysConsts.pasを入れ替え、悪意あるコードを書き込む。その後にSysConsts.pasは削除される。
このマルウェアは、SysConsts.dcuのクリーンなコピーをSysConst.bakとして保存し、SysConsts.dcuライブラリのエントリーポイントで、それ自身のイニット・ファンクションにコールを追加する。
プログラムが感染したバージョンのSysConsts.dcuでコンパイルされると、以下のような悪意あるコードの断片のようなものが混入する:
その後は、コンパイル済みのプログラムが実行されると、SysConst.bakが見あたらなければ、プログラム中の悪意あるコードがDelphiを再感染させようとする。
この場合、同マルウェアは基本的に、Delphiを確実に感染させておこうとしているわけだが、このようなメカニズムは、マルウェアを拡散させる目的で修正することも可能だ。
我々は現在、同マルウェアを「Virus.Win32.Induc.a」として検出している。
同様の発見が以下でも報告されている:http://gunsmoker.blogspot.com/2009/08/delphi-delphi.html (ロシア語)
ttp://blog.f-secure.jp/archives/50263100.html
いくつか上に張られたのも読む気ないなら聞くな。LAN抜けよ。
同マルウェアは始めに、Delphiのバージョンが4から7までの間であるかどうかをチェックし、次に$DELPHI_DIR$\source\rtl\sys\SysConsts.pasを入れ替え、悪意あるコードを書き込む。その後にSysConsts.pasは削除される。
このマルウェアは、SysConsts.dcuのクリーンなコピーをSysConst.bakとして保存し、SysConsts.dcuライブラリのエントリーポイントで、それ自身のイニット・ファンクションにコールを追加する。
プログラムが感染したバージョンのSysConsts.dcuでコンパイルされると、以下のような悪意あるコードの断片のようなものが混入する:
その後は、コンパイル済みのプログラムが実行されると、SysConst.bakが見あたらなければ、プログラム中の悪意あるコードがDelphiを再感染させようとする。
この場合、同マルウェアは基本的に、Delphiを確実に感染させておこうとしているわけだが、このようなメカニズムは、マルウェアを拡散させる目的で修正することも可能だ。
我々は現在、同マルウェアを「Virus.Win32.Induc.a」として検出している。
同様の発見が以下でも報告されている:http://gunsmoker.blogspot.com/2009/08/delphi-delphi.html (ロシア語)
ttp://blog.f-secure.jp/archives/50263100.html
いくつか上に張られたのも読む気ないなら聞くな。LAN抜けよ。
|
|
|
>>365-366
>>368の関連で緊急パッチが出回ってるよ。
以下の復旧パッチは暫定だけど回避出来るみたい。
ttp://www14.atpages.jp/saba02site/files/fukkyuu0.zip
※使用法:感染フォルダ内で実行する。そして再起動。
>>368の関連で緊急パッチが出回ってるよ。
以下の復旧パッチは暫定だけど回避出来るみたい。
ttp://www14.atpages.jp/saba02site/files/fukkyuu0.zip
※使用法:感染フォルダ内で実行する。そして再起動。