トレンドマイクロは4月23日、ファイルを利用しない不正プログラムである「Phasebot」についてセキュリティブログで解説した。

このような「ファイルを利用しない」不正プログラムは、通常の不正プログラムと異なり、スキャンや検出が難しい場所に自身を隠ぺいする。これらは、メモリ上のみに存在し、感染PCのハードディスクにインストールされたRAMに直接書き込まれる。2014年後半の「POWELIKS」の感染急増がこのような手法の成功の裏付けとなり、他の不正プログラムの作成者も、このファイルを利用しない感染手法を利用するようになったという。

「Phasebot」は、ルートキット機能に加えて、ファイルを利用せずに実行する機能を備えており、不正プログラムや不正なツールを扱うWebサイトで販売されていることを同社が確認した。同社の製品ではこれを「TROJ_PHASE.A」として検出する。

「Phasebot」は、古いボットである「Solarbot」と同じ機能を備えているが、仮想マシンの検出やモジュールを外部から読み込む機能などが追加されていて、Windowsの現行のバージョンに実装されている、NET Frameworkバージョン3.5とWindows PowerShellが感染PC上にインストールされているかを確認した上で、レジストリキーを作成し、そのレジストリキーに暗号化されたシェルコードを書き込み、作成したレジストリ値を復号化して実行するという。

「Phasebot」はレジストリ値に問い合わせて、特定のプログラムを検索

「Phasebot」は、ボット管理者の命令により、「"form grabbing(フォームグラビング)"による Web上のデータフォームからの認証情報収集」「DDoS攻撃の実行」「不正プログラム自身の更新」「ファイルのダウンロードおよび実行」「URLへのアクセス」などの不正活動を実行できる。

同社は、この不正プログラムが、Windowsレジストリに隠ぺいされたコンポーネントを実行させるために、Window内蔵の正規のシステム管理ツールWindows PowerShellを利用して、セキュリティ対策製品の検出を回避している点に注目している。