水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > XCP の挙動って知られていないのかしら

XCP の挙動って知られていないのかしら

2005年12月9日(金曜日)

XCP の挙動って知られていないのかしら

Antinnyを投下するトロイの木馬、コピー防止ソフト「XCP」で隠蔽工作か (internet.watch.impress.co.jp)」。

また、システムフォルダにワーム型ウイルス「W32.HLLW.Antinny」のコピーである「$sys$WeLoveMcCOL.exe」「$sys$sos$sys$.exe」「$sys$sonyTimer.exe」という3種類のファイルのうちいずれかを投下する。

(~中略~)

なお、Trojan.WelomochがどのようにXCPを悪用してAntinnyを隠すかは、現在のところ明らかにされていない。

えっと……。XCP が何故 rootkit だと言われているのかというと、

XCPは、「$sys$」という文字列で始まるすべてのプロセス、ファイル、ディレクトリを隠します。また、これらのバイナリのパスを指す一部のレジストリキーも隠します。

以上、マカフィー株式会社--セキュリティ情報-- より

というわけです。XCP がインストールされている環境では、名前を $sys$ で始めるという、ただそれだけのことでファイルやプロセスを隠すことができます。ですから、ファイル名を $sys$ で始めるだけで「悪用」できてしまうわけでして、まさにそれが問題にされているわけなのですが。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト