UDS:Trojan.Win32.FakeTC.cmを検知

作業効率上の観点から,最近になって開発機をネットに常時接続するようにしているが,その代わりカスペルスキーの完全スキャンを毎日実施している.そして,カスペルスキーは毎日のようにと言うより,毎日,数件の削除する必要のあるオブジェクトを検出している.これらはすべてゼルコバの木のEXEで,つい最近バックアップを取ったものだ.開発フォルダそれ自体は「除外リスト」に登録してあるが,バックアップフォルダ名は毎日変わるので登録していない.これらのEXEは「ユーザーに損害を与える目的で悪用される可能性がある正規のソフトウェア」と認定されている.

これらのEXEが何らかの手段で改ざんされているものであるとすれば,それは真の脅威と言えるが,単なるコピーにカスペルスキーが過剰反応している可能性もある.どういうロジックでこのような判定になっているのかがよく飲み込めていないため,「完全スキャンを毎日実施する」ということの中には「カスペルスキーの挙動を観察する」という項目が含まれている.このような警告は通常完全スキャンが完了したあとに「通知センター」に表示されるようになっている.昨日は完全スキャンを開始してほどなく,以下のパネルが表示されたが,そのまま完全スキャンを続行した.

image

今日の始業時にはまだ完全スキャンは完了していなかったが(スリープ中は中断されている?),1時間程度で完了し,「21個のオブジェクトが処理されていません」という結果を報告してきた.内容は以下のようなもので,21個のうち,13個がウィルスとしてマークされている.

image

これらは2006年1月30日にある人物から送られてきたメールに添付されたZIPの中のEXEだ.メールは何度もバックアップを繰り返しているので,これらはすべてそのコピーと考えられる.疑問点はいくつかある.①16年も前のメールの添付ファイルに入っていたEXEが今頃になって初めて検出されたのはなぜか?②メールの送受はサブ機のThunderBirdで行っている.サブ機にもカスペルスキーが常駐しているが,検出されていないのはなぜか?ただし,サブ機では通常の検査しかしていない.

ともかく,まず,サブ機で完全スキャンを実施してその結果を見ることにする.サブ機でウィルスが検出されればよいが,そうでないときはサブ機のファイルと開発機のファイルをバイナリで比較してみる必要が出てくる.もし,不一致があるとすれば,開発機の中のEXEが改ざんされている可能性が出てくる.もし,一致しているのにサブ機の完全スキャンで検出されないとすれば,カスペルスキーの動作そのものがやや疑わしいものになってくる.最近になってカスペルスキーは「個人情報の商用利用の許諾」を求めてきていることから,カスペルスキーに対するわたしの絶対的信頼もやや揺らぎ始めている.

「UDS:Trojan.Win32.FakeTC.cm」をネット検索してみたが,ヒットしない.「FakeTC」で検索したら情報が出てきた.⇒いままで検出されなかったのは,監視条件を厳格化したことが関係しているかもしれない.これまではセキュリティレベルを中間レベルの「最適」に設定していたものを,昨日から最高度の「最大」に切り替えている.サブ機の方も「最大」に設定変更してもう一度走らせることにしよう.

https://www.enigmasoftware.com/faketc-removal/ の記事によると,FakeTCはバックドアトロージャンで活動開始は2011年,セキュリティ関連企業で認知されたのは2015年となっている.FakeTCはアルメニア,ウクライナ,ジョージア,ベラルーシなどで発見されている.開発元はthe Sandworm APT (Advanced Persistent Threat) group (also seen as Quedagh)となっているが,国籍は分からない⇒イランと目されているようだ.このウィルスは主に政府機関や軍事施設に向けたもので,その国のトップレベルの政府要人にSMSメッセージでURLを送りつけ,そのプログラムを自ら実行するように仕向ける.

上記URLはEnigmaSoftという会社のもので,スパイハンターというウィルス駆除ソフトを持っている.15日間の試用版というのもあるので,あとで試してみることにしよう.メールに添付されているEXEはTrueCrypt Format.exeだ.TrueCryptは今でも流通しているフリーソフトで「暗号化された仮想ドライブを作成するツール。仮想ボリュームをドライブとしてマウントするときにパスワードチェックを行うと、以後は自動的に暗号化・復号化をが行われるため、ファイルを利用するたびに暗号化・復号化する必要がない。復号化はメモリ上で行われ、ファイルを残さないので安全。」という内容のものだ.

このメールには発行元のURLとともに「ここが本家です。凄い速度で進化してはいるのですが、根本的な弱点は未解決の様です。 ちなみに、数ヶ月前までは日本語のサイトもあったのですが、現在は跡形もないですね。 」とあり,バグがあることはその当時から知られていたようだ.

FakeTCのオリジナルはこのTrueCryptの弱点を突くものだったようだが,現在生き残っているのはそこから進化して多分TrueCryptとは繋がりのないものになっているのではないかと思う.カスペルスキーはこの「できの悪いTrueCryptのEXE」を潜在的な脅威とみなす判定を行ったのではないだろうか?いずれにしても,これは単純に「削除」でよいと思う.EnigmaSoftのウィルスソフトがこれをどう判定するかを見てみたい気もするが,あとで解約するのも面倒なのでパスしておこう.

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA