最新のrootkitがあなたのハードディスクのブートセクタに潜んでおり、Windows PCに感染し始めている、とセキュリティ研究者は話している。
怖ろしいことに、rootkitはほとんどのアンチウィルスアプリケーションでは検出できない。
Symantecは最新のrootkitであるTorojan.Mebrootを追跡しており、マスターブートレコード(MBR)rootkitに関するよい概要情報を提供している。一般的に、MBRはストレージ機器、例えばハードディスクドライブの最初のセクタであり、OSのブートに使われる。MBRを支配することは、OSを支配することでもある。
これらの攻撃は数年前から出回っているが、今では世間のWindowsを直撃している。NVLabは2007年にMBR rootkitの概念実証コードを公表しているし、その最初の1つであるBootRootは2005年にeEye Digital Securityが無料提供したものだ。
Symantecによれば、Trojan.MebrootはMBRを自らのコードで上書きすることによってシステムを支配下に置く。このrootkitはBootRootから派生したもののようだという。Trojan.Mebrootのカーネルは、バックドアとなるトロイの木馬を読み込むように変更される。
Symantecは次のように述べている。
一番大きな問題は、Microsoft Windowsの一部のバージョンでは、プログラムがユーザーモードで(MBRを含む)ディスクセクタを無制限に直接書き換えることを許していることだ。このため、標準的なユーザーがセクタ0に新しいMBRを書き込むことは、比較的簡単である。この問題は長い間知られており、現在も2K/XPシリーズに影響があるが、Vistaは2006年に(RC2以降)、Joanna Rutkowskaによって攻撃に成功するのデモが行われたのを受け、部分的に安全になっている。
Trojan.Mebrootについては1月2日にgmerがマップを示したが、現在はWindows XP上で動作する。Vistaの場合、ユーザーアカウント制御の警告で許可を出さなければは動作しない。SANS Instituteは最新のrootkitの履歴を持っており、これらは以下のような「古い、簡単にパッチ可能な」脆弱性を利用しているとしている。
* Microsoft JVM ByteVerify (MS03-011)
* Microsoft MDAC (MS06-014) (2バージョンある)
* Microsoft Internet Explorer Vector Markup Language (MS06-055)
* Microsoft XML CoreServices (MS06-071)
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
