2007年10月20日 - パスワード付きzip書庫形式圧縮ファイル中のマルウェア
マルウェア含むパスワード付きZip圧縮ファイルをメールに添付する手口は、検出回避としては現在ポピュラーな手口の一つである。
パスワードが無ければ開けないzipファイルならば、アンチウイルスソフトウェアではzipファイルの中身をスキャンできないだろうと期待するのだろう。
具体例としてパスワードを記載したgif画像ファイルと、パスワード付きのzipファイルを送りつける例がある。
ウイルス対策ソフトウェアでは検出できない?実際にはそうでもないようだ。
もちろん、場合によりけりなのだろう。
2007年10月19日、簡単なテストを行った。
eicar.comとHappy99.exeを準備し、それぞれをフォルダに格納。
圧縮解凍ソフトウェアとして著名なLhaplusにより書庫形式のzipファイルを作成した。圧縮率の設定は標準である。
zipファイルはそれぞれ、パスワードが必要なものと、パスワード不用のものを作成。
VirusTotalに放り込んで、結果を観察。
*1:error - password-protexted file
*2:Password-protexted-EXE
理解に苦しむのだが、パスワードを知らなければ開けないzip圧縮ファイル中のマルウェアであっても、一部の製品は検出できた。
だがPassword付きzipファイルでeicar.comを検出できたのはAuthentium・F-Prot・Normanの3つであったものの、Happy99.exeを検出できたのはNormanだけであった(W32/Ska.a@m)。
Norman Virus Controlをインストールし、最新の状態にアップデートした。
19日にVirusTotalにて供試したファイルを、コンテキストメニューよりスキャン。
手動スキャンの結果、4ファイルとも検知できた。
圧縮ファイルのスキャンができない製品もあり、また圧縮の回数(同じファイルを幾度も圧縮した場合)によっては正常に解凍できずにスキャンをスキップする製品もあるだろう。
更にはVirusTotalの結果は実際にウイルス対策ソフトを導入したスキャンの結果をどこまで正しく反映しているのかとの点には、疑問はありますが。
本題ではないのでこの場では議論の対象としては扱わない。
パスワード付き圧縮ファイル中のマルウェアは検出できないと誤解していたのだが、一部のソフトウェアはeicar.com及びskaを検出できた。
だが、どのような仕組みにより検出されるのだろうか?不思議。
今回気にかかった点として、パスワード付きzipファイルのスキャン結果として、VirusTotalにて「何も検出されなかった」ように表示された点だ。
全ての製品を実際にインストールして試したのではないが、「パスワードで保護されたファイルなのでスキャンできなかった」と知らせるのがよりユーザーにとって役立ち親切な仕様なのではなかろうか。
コメントにて指摘がありNorman Virus Controlを再度試したところ、パスワードにより結果が異なった。
Happy99.exe入りフォルダ「Happy99」を、それぞれ1-4の名称のフォルダ中にコピー。格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:1
2.zip:a
3.zip:rLq3X9hw
4.zip:ぱすわーど
それぞれのzipファイルを、11-44の名称のフォルダ中に格納。
格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:2
2.zip:b
3.zip:mze7Ti8a
4.zip:パスワード
結果
1.zip、11.zipのみWorm: W32/Ska.A@Mが検出。
その他zipファイルはThe archive is encrypted and can not be handledとなった。
パスワードが1桁の数字であれば、Norman Virus Controlはパスワード付きzipファイルの中身を精査できるようだ。
パスワードが無ければ開けないzipファイルならば、アンチウイルスソフトウェアではzipファイルの中身をスキャンできないだろうと期待するのだろう。
具体例としてパスワードを記載したgif画像ファイルと、パスワード付きのzipファイルを送りつける例がある。
ウイルス対策ソフトウェアでは検出できない?実際にはそうでもないようだ。
もちろん、場合によりけりなのだろう。
2007年10月19日、簡単なテストを行った。
eicar.comとHappy99.exeを準備し、それぞれをフォルダに格納。
圧縮解凍ソフトウェアとして著名なLhaplusにより書庫形式のzipファイルを作成した。圧縮率の設定は標準である。
zipファイルはそれぞれ、パスワードが必要なものと、パスワード不用のものを作成。
VirusTotalに放り込んで、結果を観察。
*1:error - password-protexted file
*2:Password-protexted-EXE
理解に苦しむのだが、パスワードを知らなければ開けないzip圧縮ファイル中のマルウェアであっても、一部の製品は検出できた。
だがPassword付きzipファイルでeicar.comを検出できたのはAuthentium・F-Prot・Normanの3つであったものの、Happy99.exeを検出できたのはNormanだけであった(W32/Ska.a@m)。
Norman Virus Controlを導入しテスト
Norman Virus Controlをインストールし、最新の状態にアップデートした。
19日にVirusTotalにて供試したファイルを、コンテキストメニューよりスキャン。
手動スキャンの結果、4ファイルとも検知できた。
Discussion
圧縮ファイルのスキャンができない製品もあり、また圧縮の回数(同じファイルを幾度も圧縮した場合)によっては正常に解凍できずにスキャンをスキップする製品もあるだろう。
更にはVirusTotalの結果は実際にウイルス対策ソフトを導入したスキャンの結果をどこまで正しく反映しているのかとの点には、疑問はありますが。
本題ではないのでこの場では議論の対象としては扱わない。
パスワード付き圧縮ファイル中のマルウェアは検出できないと誤解していたのだが、一部のソフトウェアはeicar.com及びskaを検出できた。
だが、どのような仕組みにより検出されるのだろうか?不思議。
今回気にかかった点として、パスワード付きzipファイルのスキャン結果として、VirusTotalにて「何も検出されなかった」ように表示された点だ。
全ての製品を実際にインストールして試したのではないが、「パスワードで保護されたファイルなのでスキャンできなかった」と知らせるのがよりユーザーにとって役立ち親切な仕様なのではなかろうか。
2007年11月10日追記事項
コメントにて指摘がありNorman Virus Controlを再度試したところ、パスワードにより結果が異なった。
Happy99.exe入りフォルダ「Happy99」を、それぞれ1-4の名称のフォルダ中にコピー。格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:1
2.zip:a
3.zip:rLq3X9hw
4.zip:ぱすわーど
それぞれのzipファイルを、11-44の名称のフォルダ中に格納。
格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:2
2.zip:b
3.zip:mze7Ti8a
4.zip:パスワード
結果
1.zip、11.zipのみWorm: W32/Ska.A@Mが検出。
その他zipファイルはThe archive is encrypted and can not be handledとなった。
パスワードが1桁の数字であれば、Norman Virus Controlはパスワード付きzipファイルの中身を精査できるようだ。
この記事へのトラックバックURL
http://trackback.blogsys.jp/livedoor/lucanian/51013505
この記事へのコメント
eicarだと、zipファイル化しても、「ヘッダ+非圧縮」な可能性もあるんじゃないかと想像します。ファイルサイズが小さすぎるから。
happy99と、パスワード付の方はさっぱりです。
参考にならなくてすみません。
ZIPのように直接フォーマット対応していない、たとえばLZHファイルなどへの対応では、どうせ実行する時には解凍されるのだから、その時リアルタイムで検出するから最終的には安全です、と言っているメーカーがあったと思います。
比較サイトの、ハードディスクのフルスキャン速度の比較などで気にしないといけないところです。
happy99と、パスワード付の方はさっぱりです。
参考にならなくてすみません。
ZIPのように直接フォーマット対応していない、たとえばLZHファイルなどへの対応では、どうせ実行する時には解凍されるのだから、その時リアルタイムで検出するから最終的には安全です、と言っているメーカーがあったと思います。
比較サイトの、ハードディスクのフルスキャン速度の比較などで気にしないといけないところです。
Posted by itochan at 2007年10月21日 17:47
>eicarだと、zipファイル化しても、
>「ヘッダ+非圧縮」な可能性もあるんじゃないかと
それはそうなんですが。
>「ヘッダ+非圧縮」な可能性もあるんじゃないかと
それはそうなんですが。
Posted by Luca at 2007年10月21日 18:07
* zip内のzip内のvirus
* zip内のパスワード付zip内のvirus
* パスワード付zip内のzip内のvirus
が検出可能かどうか調べてみると、なんとなく検知の仕組みが分かるような気がします。
予想は順に ○ ○ × です。
* zip内のパスワード付zip内のvirus
* パスワード付zip内のzip内のvirus
が検出可能かどうか調べてみると、なんとなく検知の仕組みが分かるような気がします。
予想は順に ○ ○ × です。
Posted by 通りすがり at 2007年10月23日 12:38
二重圧縮ファイルを作成しNormanをインストールしてスキャンしたところ、4つともSKAが検出されました。
* zip内のzip内のvirus
* zip内のパスワード付zip内のvirus
* パスワード付zip内のzip内のvirus
* パスワード付zip内のパスワード付zip内のvirus
パスワード付きzipファイルを諦めてスキップするソフトウェアと、しつこく中身を精査しようとするソフトウェアの2タイプに分かれるんでしょうか。
大変面白い現象でした。
* zip内のzip内のvirus
* zip内のパスワード付zip内のvirus
* パスワード付zip内のzip内のvirus
* パスワード付zip内のパスワード付zip内のvirus
パスワード付きzipファイルを諦めてスキップするソフトウェアと、しつこく中身を精査しようとするソフトウェアの2タイプに分かれるんでしょうか。
大変面白い現象でした。
Posted by Luca at 2007年10月23日 20:00
意外な結果です。
ところでzipファイルに設定されたパスワードは十分に強固なものなんでしょうか?
ところでzipファイルに設定されたパスワードは十分に強固なものなんでしょうか?
Posted by 通りすがり at 2007年10月25日 01:08
Happy99.exe入りフォルダ「Happy99」を、それぞれ1-4の名称のフォルダ中にコピー
格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:1
2.zip:a
3.zip:rLq3X9hw
4.zip:ぱすわーど
それぞれのzipファイルを、11-44の名称のフォルダ中に格納。
格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:2
2.zip:b
3.zip:mze7Ti8a
4.zip:パスワード
結果
1.zip、11.zipのみWorm: W32/Ska.A@Mが検出
その他zipファイルはThe archive is encrypted and can not be handled
格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:1
2.zip:a
3.zip:rLq3X9hw
4.zip:ぱすわーど
それぞれのzipファイルを、11-44の名称のフォルダ中に格納。
格納したフォルダには、下記のパスワードを付けてzip化。
1.zip:2
2.zip:b
3.zip:mze7Ti8a
4.zip:パスワード
結果
1.zip、11.zipのみWorm: W32/Ska.A@Mが検出
その他zipファイルはThe archive is encrypted and can not be handled
Posted by Luca at 2007年10月25日 21:03
>パスワードは十分に強固なものなんでしょうか?
全く思いつきもしませんでした。
言われてみればと今更ながら気付き、検証。
結果は上記コメントにて。
全く予期できなかった結果として、Windows XP SP2上のNormanは、パスワード次第で結果がかなり異なり。
パスワードが1桁の数字ならば検出でき、その他はダメ。
大変示唆に富んだ結果で、驚いてます。
全く思いつきもしませんでした。
言われてみればと今更ながら気付き、検証。
結果は上記コメントにて。
全く予期できなかった結果として、Windows XP SP2上のNormanは、パスワード次第で結果がかなり異なり。
パスワードが1桁の数字ならば検出でき、その他はダメ。
大変示唆に富んだ結果で、驚いてます。
Posted by Luca at 2007年10月25日 21:09
