PR

 WORM_ONLINEG.EMXは,セキュリティ製品がインストールされているかどうかを特定のプロセス名を見て判断している。ウイルスバスター2009がインストールされている環境においては,UFSEAGNT.EXEのプロセスが起動しているのを確認し,UfUpdUi.exeファイルを書き換えるのである(図8)。単純にファイルに書き込むのではなく,特殊な方法を用いて書き換えていた。これはセキュリティ製品のファイル保護機能を回避するためと思われる。

図8●WriteFile関数によってUfUpdUi.exeが上書きされた状態

 図8はWORM_ONLINEG.EMX がUfUpdUi.exeファイルを上書きした後のデバッガと,エクスプローラ上でUfUpdUi.exeファイルを表示した画面キャプチャである。図9の上書きされる前のアイコンと比較しても何らかの変更が加わったのは一目瞭然である。WORM_ONLINEG.EMXの特徴は,セキュリティ製品のプロセスを停止したり,hostsファイルを書き換えたりするなど比較的気付きやすい方法ではなく,使用しているファイルの一部をエラーが表示されないように上書きするといった,見た目上はセキュリティ製品が問題なく動作しているように思わせることである。

図9●上書き前のUfUpdUi.exeファイルのアイコン
図9●上書き前のUfUpdUi.exeファイルのアイコン

 WORM_ONLINEG.EMXには,ウイルスバスター2009で使用しているファイル以外にも,シマンテックやカスペルスキーなど複数企業のセキュリティ製品のファイルを上書きする機能が実装されている。WORM_ONLINEG.EMXが無効化を試みるセキュリティ製品は,以下の企業のものである。有償・無償に関わらず,様々な企業の製品が狙われていることが分かる。

  • ALWIL Software
  • Avira GmbH
  • ESTSoft
  • Kaspersky
  • McAfee
  • New Technology Wave
  • SOFTWIN
  • Symantec
  • Trend Micro
(アルファベット順)