セキュリティソフトを無効にするルートキット型マルウェアとは
「RTKT_ZACCESS」は、通常、「FAKEAV」など他のマルウェアのパッケージの一部としてコンピュータに侵入し、ルートキット型コンポーネントとして利用されるマルウェアです。トレンドマイクロでは、この種類のマルウェアを「ZACCESS」ファミリとして総称しています。なお、検出名には「ZACESS」が使用されている場合もあります。
このマルウェアファミリの特徴は、侵入したコンピュータにインストールされたセキュリティソフトや、フォレンジックツール(情報漏えいなどに関するログ等の収集管理やマルウェアの検出を行なうツール)などのアプリケーションを無効にする機能を備えていることです。また、「I/O要求パケット(IRP)」の監視やアクセス制御リスト(ACL)設定の変更も、このマルウェアファミリが備えている特徴といえます。
ルートキット型マルウェアは、侵入したコンピュータ上でのコントロールを完全に奪ってしまい、管理者権限でしか利用できない機能さえも掌握してしまうことで知られています。結果として、このマルウェアおよび関連する各種コンポーネントは、巧みに自身をシステムの直下に隠ぺいすることができ、検出や駆除が困難になってしまいます。
「RTKT_ZACCESS」がNoteworthy (要注意)に分類された理由は何ですか?
ルートキット型マルウェアとしては、初めてセキュリティソフトを無効にする機能を備えているという点が、第一の理由となります。第二の理由としては、ACL設定の変更機能を備えたルートキット型マルウェアという点もあげられます。
ACLとは、オペレーティングシステム(OS)上での(コンピュータ全体の規模で)ユーザからファイルへのアクセス許可や制限の設定のことを指します。これにより、「特定のファイルに対して、どのユーザまたはどういったプロセスのアクセスが許可されるか、もしくは制限されるか」が設定されます。また、「特定のファイル上で、どのオペレーションが実行されるか」といった設定も、このACLによって行われます。
こうして、「RTKT_ZACCESS」は、感染したコンピュータ上のACL設定を変更することにより、インストールされたセキュリティソフトをACL設定から排除してしまいます。結果として、セキュリティソフトは、ユーザがアクセスすることも、実行されることもできなくなります。
このマルウェアは、どのようにしてコンピュータに侵入しますか?
「RTKT_ZACCESS」は、通常、他のマルウェアのパッケージの一部としてコンピュータに侵入します。他のマルウェアは、さらに他のマルウェアを作成(ドロップ)する「ドロッパー」であったり、さらに他のマルウェアをダウンロードする「ダウンローダ」であったります。ダウンローダの場合、ユーザが気づかないうちにWebサイトからダウンロードされてくる「ドライブバイ・ダウンロード」の手口や、その他、ユーザの心理を突いたソーシャルエンジニアリングの手口が利用されたりします。
トレンドマイクロで入手した検体からは、「RTKT_ZACCESS」がFAKEAVの一部としてコンピュータに侵入していたことを確認しています。その他、キージェネレータやクラッキングツールになりすましてコンピュータに侵入する場合もあります。
「RTKT_ZACCESS」やそれに関連したマルウェアは、どのような影響をユーザに及ぼしますか?
「RTKT_ZACCESS」は、情報収集型マルウェアや、その他のサイバー犯罪や詐欺行為に関連するアプリケーションをコンピュータ内に隠ぺいさせ、検出されないようにすることを目的としたルートキット型のコンポーネントです。このため、「RTKT_ZACCESS」自体がユーザに関する情報収集活動を行なうことはありません。ただし、他のマルウェアを新たにダウンロードして、ダウンロードした他のマルウェアが、そういった情報収集活動を行なう可能性もあります。
1台のコンピュータが「RTKT_ZACCESS」が感染場合、ネットワークは危険にさらされますか?
可能性はあります。「RTKT_ZACCESS」が他のマルウェアをダウンロードしてきますので、例えば、ワームやファイル感染型ウイルスなどがダウンロードされた場合、ネットワーク全体がリスクにさらされることになります。ただし、他のマルウェアやウイルスのダウンロードなどを実行せず、「RTKT_ZACCESS」のみで社内ネットワーク全体が脅威にさらされることはありません。
この脅威に関連したマルウェアに感染しているか確認する方法はありますか?
感染の疑いがある場合、インストールされているセキュリティソフトを実行してみることです。「RTKT_ZACCESS」に感染している場合、このマルウェアによりACL設定が変更されており、セキュリティソフトを実行することも、検出することもできなくなっているはずです。
ルートキットバスターによる感染確認:
「ルートキットバスター」をダウンロードして感染の有無を確認することも可能です。詳細に関しては、入手サイトの説明をご参照ください。
「Fixtool」による自動削除:
「RTKT_ZACESS.SM1」および「RTKT_ZACESS.SM3」のみに限定されますが、これらのマルウェアに感染した場合、「Fixtool」を入手して自動削除が行なえます。このFixtoolを解凍した上で、指定のFixtoolを最新パターンファイルがある同じフォルダ内で実行してください。このツールの詳細に関しては、同様にクリックして解凍した際に入手できるFixtoolのテキストファイルをご参照ください。(利用可能プラットフォーム:Windows XP、Windows Vista および Windows 7)
「Rescue Disk」を利用した自動削除:
英語版のみですが、このツールを利用してもZACCESSファミリのマルウェアを削除することができます。詳細に関しては、入手サイトの説明をご参照ください。(利用可能プラットフォーム:Windows XP Windows SP3、Windows 2003、Windows Vista および Windows 7)
トレンドマイクロ製品は、この脅威を防ぐことができますか?
もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の多層防壁によりZACCESSがもたらす脅威からユーザを確実に守ることができます。「ファイルレピュテーション」技術は、「RTKT_ZACCESS」に関する全ての亜種を検出し、それらが実行されるのを未然に防ぐことができます。
また、「Trend Micro Threat Management Solution™ 2.6」のメインコンポーネントの1つである「Trend Micro Threat Discovery Appliance(TDA)」は、ネットワーク上を流れるトラフィックを常時監視するセンサー装置として、企業内のネットワークを防御し、C&Cサーバとの交信や収集した情報のアップロードといった不正なパケットを確実にブロックすることができます。
個人ユーザの場合は、無償のマルウェア検出ツールである「Trend Micro HouseCall」もご利用いただけます。必要と感じた際にこのツールをご利用いただくことで、最新の技術を使用して、最新のウイルス、スパイウェアやその他の「Webからの脅威」を検出することができます。
同様に、ダメージクリーンナップエンジンの新しい拡張機能である「Generic Clean機能」ならば、最新のダメージクリーンナップテンプレートの配信されるまでの間、応急措置的にシステム復旧を行うことが可能となります。この機能によって、より早期的で完全なマルウェア対策を提供できます。
そしてユーザ各自は、オンラインでの個人情報の扱いには細心の注意を払う必要があります。オンラインバンキングは、必ず安全が確保されたネットワークから利用すること。業務上で機密情報を扱う場合も、ファイアウォール、ゲートウェイ、メッセージング、ネットワーク、サーバ、エンドポイント、さらにはモバイル機器と、様々な階層や局面においてセキュリティを確実にしておくことが、今回のような脅威から身を守るためにも不可欠な対策となります。