soundmix.exe - いや、これってマルウェアですから

ライトプロテクトをかけたUSBメモリを接続した直後のパソコンに、soundmixなるソフトウェアが書き込めないぞぉと幾度もエラー表示を出す。
これはiPODや音楽関連のソフトウェアじゃないし。
実はUSBメモリ経由感染のマルウェアが作成するファイル。


手元にある検体autorun.exeをVirusTotalにアップ。VirusTotalでの検索結果から、ThreatExpert's awareness of the file "soundmix.exe"を開いてみる。

The file "soundmix.exe" is known to be created under the following filenames:
%System%\dllcache\zipexr.dll
%System%\soundmix.exe


ファイルの名称次第で、感染中なのにも関わらずマルウェア感染以外の単純なエラーであると、エンドユーザーは思い込んでしまう。
(既存ファイルに上書き・追記するような「ウイルス」ではなく、単体で作成されるファイルによる危害ある行動の例である)


あっけなくWindows OSや既存のアプリケーションのエラーであるよう誤解されてしまいがちなのは、よくわかるよ。
MSのサービスやプロセスと類似した名称のファイルなどを作成するマルウェアなどは、HijackThisでの診断を逃れてしまいがちだ。
大体、ファイルの名称のみで善悪を定める作業はさほどの意味を成さず、MD5シグニチャ電子署名などを確かめない限りはそれが正規のファイルであるかを証明できない。


擬態・偽装するマルウェア - ファイル名・エントリ名とHijackThisによる修復の難(Lucablog, 2006年5月14日)を読み返し、チラッと脳裏を横切る事として。
メーカー製パソコンには、独自のアプリケーションが幾つも幾つも導入されている。それらはメーカー製パソコンが備える独自のディレクトリに存在する。
FMVとか、そんなものだ。
マルウェアのファイルのパスを、(例として)FMV以下にしてしまえば、多くの回答者がさぞや困るんだろうなぁと夢想する。


またはメーカー製パソコン、VAIOやDinabookやFMVに感染したらば、ファイルやプロセスの名称・フォルダの名称にこれらの文字列を入れるだけで、あっけなくHijackThisによる診断者の目を欺けるような。
ただ、自分の知見が至らないためもあってか、未だそのような特定メーカー狙い撃ちタイプのマルウェアは発見できていない(上書き・追記型ウイルスを除けばだが)。


話の締めくくりとして。
ファイルの名称のみで「安全・危険」との判断を下すのは、あまりにも早計だと言いたいんだ。