サンドボックスによる仮想化技術の利用

サンドボックスとはメモリ内に保護された領域を作成し、その保護領域の中でプログラムを実行することにより、領域内のシステムを汚染しない仮想化技術のことです。

仮にサンドボックスにより保護された領域内でウイルスを実行しても、そのウイルスが領域外に漏れ出すことは殆どありません。
また、サンドボックス内にプログラムをインストールしてレジストリを汚さない様にパソコンを使うなどといった、頭腐ってるとしか思えない酔狂な遊びも出来ます。
今回は、遠隔操作に自信ニキハンドメイド版の「rootkit.0access」をサンドボックス内で実行してみます。

Sandboxieのインストール・設定

こちらに掲載しています。

Sandbox上でウイルスの実行

実験のため、Aviraの常駐保護を一時的に無効にした。

desktop.ini,mov(.lnk),thumbs.dbの3個のファイルがあり、desktop.iniの正体がウイルス。
ショートカットアイコンのmovをダブルクリックすると、PowerShellに引数を渡しx.exeとリネームし、%temp%ディレクトリにexeを移動して実行し、感染する。
感染させた後、FC2ディレクトリを作成し、thumbs.dbを動画ファイルにリネーム、自動で新しいウインドウを開く。

PowerShellのキャプチャ

この状態では感染に気づかないユーザも多いのではないだろうか。

上のディレクトリにあったdesktop.ini,thumbs.dbはポアされた訳ではない。

このx.exeがウイルスの正体。
サンドボックス環境で実行するとレジストリ登録やコードインジェクションの処理が行えないので、エラーを起こしてゾンビプロセス化してしまう。 

x.exeが起動していることが分かる。
サンドボックス外だと正常に動作し、C:\ProgramDataに読み取り専用のaudioディレクトリを作成し、棲家にする。このディレクトリはUACを弄って拒否エントリーを登録するのでセーフモードでなければ削除できない。 
その後、スタートアップにSymantec社を装い自身を登録し、x.exeはexplorer.exeに自動でリネームする。
コードインジェクションによる物かは不明だが、explorer.exeを消しても直ぐに監視プロセスがhemxccape.exeを立ち上げた後、explorer.exeにリネームして復活する。 

x.exeは動作に失敗したため、AppData\temp内に置き去りにされている。
#しかし不可解なアイコンだ

説明はタスクマネージャーの表記通り、Medaka's encep。 

お前がSymantec製品のはずがないだろ。

このように、ウイルスを実行して滅茶苦茶に汚してしまっても、サンドボックスなら全てなかったことにする事ができます。 
ただし、サンドボックスは１００％安全ではありませんので誤解されないようにお願いします。Sandboxieをバイパスして直接実行するウイルスなども存在します。

使い所に悩みますが、 インターネットでダウンロードしたファイルの解凍、確認などで出番がありそうです。