PR
写真 仮想マシン検出機能を備えた悪質プログラムをVMware上で実行した例(SANS Instituteの情報から引用)
写真 仮想マシン検出機能を備えた悪質プログラムをVMware上で実行した例(SANS Instituteの情報から引用)
[画像のクリックで拡大表示]

 米SANS Instituteによれば,仮想マシンを検出する機能を備えた悪質なプログラムが最近増えているという。同組織のスタッフが現地時間11月19日,公式ブログで明らかにした。解析されることを防ぐために,仮想マシン上では動作しなかったり,自分自身を消去したりする(関連記事:「ボットネットは“目立たない”ように工夫を凝らす)。仮想マシンを検出する機能の実装には,商用ツールが使われている場合もあるという。

 ウイルスやボットといった悪質なプログラムの“捕獲”には,仮想マシンが利用されることが多い。仮想マシン上のゲストOSで“罠(ハニーポット)”を稼働させ,悪質なプログラムをわざと感染させて,その挙動などを解析する。

 それを防ぐために,最近の悪質なプログラムは,仮想マシンの検出機能を備え始めた。SANS Instituteのスタッフが最近捕獲した悪質なプログラム12種のうち3種が,仮想マシンVMware上では動作しなかったという。

 仮想マシンを検出する機能は,悪質なプログラムに直接実装されている場合もあれば,サード・パーティのパッキング・ツールによって追加される場合もあるという。ここでのパッキング・ツールとは,プログラムを難読化するためのツールのこと。パッカー(Packer)などとも呼ばれる。パッキング・ツールを使えば,プログラムの動作を変更することなく,プログラム中の文字列を隠したり,デバッカで解析できないようにしたりできるという。VMwareを検知して動作を停止する機能なども追加できる。

 パッカーはフリーで公開されているものが多いが,商用のパッカーもいくつか存在する。SANS Instituteのスタッフは,その一つである「Themida」というパッカーを使った悪質なプログラムを確認したという。Themidaは,中国で有名なパッカーの一つとされる。Themidaを使って仮想マシンの検出機能を実装したプログラムでは,VMware上で動作させようとすると,写真のようなダイアログを表示して動作を拒否する。

SANS Instituteの情報