7章マルウェアの機能と持続性

　マルウェアは様々な操作を実行したり、様々な機能を含めたりすることができます。マルウェアの機能と挙動について理解することは、マルウェアの性質と目的を理解するために不可欠です。前章まではマルウェア解析に必要なスキルとツールを学びました。この章からは、様々なマルウェアの挙動、特性、機能の理解に焦点を当てていきましょう。

7.1　マルウェアの機能

　この章までたどり着いた読者は、マルウェアがAPI関数を利用してシステムとやり取りする方法を理解しているはずです。このセクションでは、マルウェアが様々なAPI関数を利用し、特定の機能を分析する方法を学びます。特定のAPIについてヘルプの場所とAPIドキュメントの読み方を知りたいときは、『5.3 Windows APIの逆アセンブル』を参照してください。

7.1.1　ダウンローダー

　マルウェア解析中に遭遇する最も単純なタイプのマルウェアは、ダウンローダー（Downloader）です。ダウンローダーは、インターネットから別のマルウェアコンポーネントをダウンロードし、システム上で実行するプログラムです。ダウンローダーはこの機能を、ファイルをディスク上にダウンロードするUrlDownloadToFile関数を呼び出して実現しています。ダウンロードされると、ShellExecute関数、WinExec関数、CreateProcess関数などのAPI呼び出しを行い、ダウンロードしたコンポーネントを実行します。通常、ダウンローダーは攻撃シェルコードの一部として利用されます。

　次のスクリーンショットは、UrlDownloadToFileA関数、ShellExecuteA関数を利用してマルウェアをダウンロードし、実行する32ビットマルウェアダウンローダーです。マルウェアをダウンロードするURLを特定するため、 ...