発見されたウイルスの分析
上述の方法で収集されたウイルスは、分析にかけられる。ここでは取材した際に発見された新種のウイルスの分析を見ることができた。
 |
図4 発見された新種のウイルス。この時点でアイコンが偽装されている |
まずは、Black Box Testが行われる。実際にウイルスを起動してみるのだ。その際に起動されるプロセス、送受信されるパケットなどを調査する。このウイルスには、めだった挙動は現れなかった。しかし、ファイルやレジストリなどにどのような変更が行われたかを調べてみると、図5のようにexplorer.exeが、Windows\System32フォルダに書き込まれていた(正しくは、Windowsフォルダにある)。
 |
図5 Windows\System32フォルダに書き込まれたexplorer.exe |
これは、作成されたウイルスが本来のエクスプローラのように見せかけたり、ユーザーの目を欺くために使われる手法とのことである。 次に行われるのが、White Box Testである。デバッガなどでウイルスの中身を調べる。まずは、ウイルス内のASCII文字を検索する。すると、URLが発見された(図6)。
 |
図6 発見されたURLの文字列 |
現時点では、ここから不正なプログラムをダウンロードするのか、このURLへユーザーを誘導させようとするのかはわからない。しかし、最近のウイルスには必ずといってよいほど、このようなURLが隠されている。この情報は、上述したウイルスの収集や後述するWebレピュテーション技術に利用される。 次いで、ブレークポイント単位でウイルスを実行させた。このウイルスは、プロセス名を比較する(図7)。
 |
図7 プロセス名を比較 |
