Yesterday we received an interesting email-worm sample, detected as Gurong.a
, that uses rootkit techniques to hide its file, process and launch point in the registry. It is based on the infamous Mydoom
code and it is in the wild but currently spreading very slowly.
昨日我々は rootkit テクニックをそのファイルを隠すために使う Gurong.a として発見された面白い電子メール虫サンプルを受けました、プロセスと始動が登記所でポイントします。 それは悪名が高い Mydoom コードに基づいています、そしてそれは非常にゆっくりと野生でのしかし現在広まっています。
Gurong.a modifies the operating system kernel, specifically the system service table and process object structures, so it is a kernel-mode rootkit. What makes it different from other kernel-mode rootkits we have seen is the way it installs the rootkit payload into kernel. Often malware uses a special purpose driver or the physical memory device to modify the kernel from user mode.
Gurong.a にオペレーティング・システムカーネルを修正します、特にサービステーブルとプロセスオブジェクトが、それがカーネルモード rootkit であるように、組み立てるシステム。 我々が見たそれを他のカーネルモード rootkits と異ならせるものはそれがカーネルの中に rootkit 有効搭載量をインストールする方法です。 しばしば悪性ソフトが特別な目的ドライバあるいは物理的な記憶装置をユーザーモードからカーネルを修正するために使います。
Gurong.a uses the physical memory device as its initial injection vector to install a call gate to the Global Descriptor Table (GDT) that resides in system address space. Call gates are things we do not see everyday. Below is a definition from Wikipedia
:
Gurong.a は位置するグローバルな記述子テーブル(GDT)へのコール門をシステムアドレス空間にインストールするために物理的な記憶装置をその最初の注射ベクトルとして使用します。 コール門は我々が毎日見ないものです。 下は Wikipedia からの定義です:
“Call gate is a mechanism in intel x86 architecture for changing privilege level of CPU when it executes a predefined function call.”
「それが前もって定められたファンクション・コールを実行するとき、コールゲートはCPUの特典レベルを変えることに対して、 intel x86 アーキテクチャでメカニズムです。」
For more detailed information about call gates you should have a look at the IA-32 Intel Architecture Software Developer’s Manual, Volume 3A.
コール門についてのいっそう詳細なインフォメーションのためにあなたは IA - 32インテルアーキテクチャソフトウェア開発業者のマニュアル、ボリューム 3A をひと目見るべきです。
What this means is that through the call gate Gurong.a can execute parts of its code in privilege level 0 (kernel mode) without adding any additional code to the system address space. This code has full access to the system address space and privileged instructions. For example, the code that hides a process by modifying its object structure is actually part of the wmedia16.exe image (the file name used by the worm) and resides in user address space.
これが意味することはコール門を通って Gurong.a がシステムアドレス空間へのどんな追加のコードでも加えないで特典レベル0でのそのコード(カーネルモード)の一部を実行することができるということです。 このコードはシステムアドレス空間と恵まれているインストラクションへのフルのアクセスを持っています。 例えば、そのオブジェクト構造を修正することによって、プロセスを隠す規約は実際に wmedia16.exe イメージ(虫によって使われるファイル名)の一部であって、そしてユーザーアドレス空間に存在します。
As a final note, F-Secure BlackLight
is able to find and disable Gurong.a.
最終のノートとして、F - 安全なブラックライトは Gurong.a を見いだして、そして停止することが可能です。