XCP の挙動って知られていないのかしら
2005年12月9日(金曜日)
XCP の挙動って知られていないのかしら
「Antinnyを投下するトロイの木馬、コピー防止ソフト「XCP」で隠蔽工作か (internet.watch.impress.co.jp)」。
また、システムフォルダにワーム型ウイルス「W32.HLLW.Antinny」のコピーである「$sys$WeLoveMcCOL.exe」「$sys$sos$sys$.exe」「$sys$sonyTimer.exe」という3種類のファイルのうちいずれかを投下する。
(~中略~)
なお、Trojan.WelomochがどのようにXCPを悪用してAntinnyを隠すかは、現在のところ明らかにされていない。
えっと……。XCP が何故 rootkit だと言われているのかというと、
XCPは、「$sys$」という文字列で始まるすべてのプロセス、ファイル、ディレクトリを隠します。また、これらのバイナリのパスを指す一部のレジストリキーも隠します。
以上、マカフィー株式会社--セキュリティ情報-- より
というわけです。XCP がインストールされている環境では、名前を $sys$ で始めるという、ただそれだけのことでファイルやプロセスを隠すことができます。ですから、ファイル名を $sys$ で始めるだけで「悪用」できてしまうわけでして、まさにそれが問題にされているわけなのですが。
- 「XCP の挙動って知られていないのかしら」にコメントを書く
関連する話題: セキュリティ
- 前(古い): 無視される警告
- 次(新しい): Xbox360 の余波
