あなたのブートレコードにrootkitはありませんか

文:Larry Dignan(ZDNet.com) 翻訳校正:石橋啓一郎

2008-01-10 11:29

 最新のrootkitがあなたのハードディスクのブートセクタに潜んでおり、Windows PCに感染し始めている、とセキュリティ研究者は話している。

 怖ろしいことに、rootkitはほとんどのアンチウィルスアプリケーションでは検出できない。

 Symantecは最新のrootkitであるTorojan.Mebrootを追跡しており、マスターブートレコード(MBR)rootkitに関するよい概要情報を提供している。一般的に、MBRはストレージ機器、例えばハードディスクドライブの最初のセクタであり、OSのブートに使われる。MBRを支配することは、OSを支配することでもある。

 これらの攻撃は数年前から出回っているが、今では世間のWindowsを直撃している。NVLabは2007年にMBR rootkitの概念実証コードを公表しているし、その最初の1つであるBootRootは2005年にeEye Digital Securityが無料提供したものだ。

 Symantecによれば、Trojan.MebrootはMBRを自らのコードで上書きすることによってシステムを支配下に置く。このrootkitはBootRootから派生したもののようだという。Trojan.Mebrootのカーネルは、バックドアとなるトロイの木馬を読み込むように変更される。

Symantecは次のように述べている。

 一番大きな問題は、Microsoft Windowsの一部のバージョンでは、プログラムがユーザーモードで(MBRを含む)ディスクセクタを無制限に直接書き換えることを許していることだ。このため、標準的なユーザーがセクタ0に新しいMBRを書き込むことは、比較的簡単である。この問題は長い間知られており、現在も2K/XPシリーズに影響があるが、Vistaは2006年に(RC2以降)、Joanna Rutkowskaによって攻撃に成功するのデモが行われたのを受け、部分的に安全になっている。

 Trojan.Mebrootについては1月2日にgmerがマップを示したが、現在はWindows XP上で動作する。Vistaの場合、ユーザーアカウント制御の警告で許可を出さなければは動作しない。SANS Instituteは最新のrootkitの履歴を持っており、これらは以下のような「古い、簡単にパッチ可能な」脆弱性を利用しているとしている。

* Microsoft JVM ByteVerify (MS03-011)

* Microsoft MDAC (MS06-014) (2バージョンある)

* Microsoft Internet Explorer Vector Markup Language (MS06-055)

* Microsoft XML CoreServices (MS06-071)

 Computerworldの記事(英語)

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]