BlackLightの使い方
01.概要
02.動作環境
03.Rootkitsについて
04.BlackLight(Beta)について
05.BlackLight(Beta)の使用方法
05−01.ダウンロード、インストール
05−02.BlackLight(Beta)の実行
06.トラブルシューティング
&
sect;1.概要
スパイウェアやウィルスの進歩は、広く用いられているアンチウィルスソフトやアンチスパイウェアソフトでは発見することが出来ない現状が作り出されていま
す。ある種のスパイウェアはRootkitsと呼ばれる手法を組み込みシステムの深層に隠れ、汎用セキュリティソフトからはステルス(「認識できない」の
意)になっています。悪意あるプログラムの作成者はお互い連絡を取り合いRootkitsについてより多くのことを研究しています。
Rootkitsを用いて不可視属性にされたマルウェアを発見し駆除するソフトとしてF-SecureからBlackLight(Beta)が提供されて います。
この他にも、RootkitRevealerがSysinternalからリリースされています。こちらもFreeです。
以下はF-SecureのサイトからBlackLight(Beta)に関する部分の和訳が中心です。 §2.動作環境 BlackLight(Beta)は32-bit Windowsでのみ動作します。
Rootkitsを組み込まれたウィルス、スパイウェア、ワーム、バックドア等はアンチウィルスソフトを最新の定義、最新のプログラムで保護していても検 出されることなくシステム中にずっと居続けます。今や、Rootkitsは重大な脅威になってきています。
スパイウェア作成業界ではRootkitsの組み込みは常識化しているといわれています。そして、現在報告されている被害状況は、このテクノロジの持つ潜 在的脅威に比べるとずっと小さいとも言われています。
以下が、Rootkitsを組み込んだ代表的マルウェアです。
まだまだ少なく、効果のほどは"?"なのですが、最近Rootkitsの検出機能を持ったアンチウィルスも出てきています。 Rootkitsの組み込みが常識化してきているように、悪意あるプログラムの作成者はよりプロフェッショナルになってきています。「なぜ、このような悪 意あるプログラムを作るのか?」この疑問に対する答えを一言で表せば「金銭目的」です。
個人情報は買い手がいます。また、それぞれ顧客の要求に応じたマルウェアが販売されています。直ぐに検出・駆除される物より長期間潜伏し検出されない物の 方が高く売れます。
Rootkitsを組み込んだマルウェアは着実に増加しています。 §4.BlackLight(Beta)について BlackLight(Beta)はフィンランドのセキュリティメーカーF-SecureによってリリースされたRootkits駆除ソフトです。汎用さ れているセキュリティソフトでは検出できないマルウェアを発見し、「駆除するか否か」ユーザに尋ねます。まさに、システムの深層に潜んでいるマルウェアに ブラックライトを当てて発見するわけです。BlackLight(Beta)の主目的は「Rootkitsを組み込んだマルウェアとの戦いと撲滅にある」 とF-Secureは宣言しています。また、自身の名前を変更して削除されることを妨害するマルウェアの駆除にも有効です。
BlackLight(Beta)は疑わしいオブジェクトの長大なリストを作成、表示してユーザを悩ませるようなことはしません。技術や経験を持たない ユーザでも利用できるように作られています。F-Secure BlackLight Rootkit Elimination Technologyは通常起動の間でもバックグラウンドで稼動するように設計されています。多くのスキャナのようにスキャン中に他の操作をしたら、再起 動が要求されたり、誤検出したりというようなことはありません。
BlackLightは個人ユーザ、ビジネスユーザ共にサポートされています。 最近、マルウェア作成者は新しい手口として「Hidden from by F-Secure BlackLight Rootkit Elimination Technology!」(F-Secure BlackLightから身を隠す)というトロイの木馬を発表しています。このスパイウェアは、現在の所 BlackLightのプロセスを識別するだけのものです。BlackLightの検出を逃れているわけではありません。 §5.BlackLight(Beta)使用方法 05−01.ダウンロード、インストール ダウンロードは以下のF-Secureのサイトから"I Accept"ボタンをクリックしてください。開いたページに"download"ボタンがありますので、これをクリックします。
http://www.f-secure.com/blacklight/try_blacklight.html インストールの必要はありません。ダウンロードしたblbeta.exeファイルをダブルクリックすれば、BlackLightは起動します。 05−02.BlackLight(Beta)の実行 (手順-1).開いている全てのソフトを終了させま す。
このソフトは本来バックグラウンドでも動作するように設計されていますが、Beta版のため他のソフトを終了させておくことが推奨されています。
(手順-2).blbeta.exeをダブルクリック してBlackLight(Beta)起動。
このソフトを実行するには管理者権限でログオンしておく必要があります。
(手順-3).起動画面(上図)で"Scan"ボタン をクリック。
途中でスキャンを停止したい時は"Stop"ボタンをクリックします。
スキャン終了後"Show all process"ボタンが表示されますが、これはアドバンスドユーザ向けです。無視して差し支えありません
(手順-4).隠しアイテムが発見されると、そのアイ テムのタイプと名前が表示されます。
(手順-5).表示された隠しアイテムの情報を閲覧し ます。
(注意1).BlackLight(Beta)は何を リストアップしているか???
BlackLight(Beta)はシステム中の隠しファイルをリストアップしますが、リストアップされたデータは幾つか違う意味を持っています。
(手順-7).コンピュータの大事なデータをバック アップします。
(手順-8).(手順-4)で表示された隠しファイル の内のリネームしたいファイルを選択。"Rename"ボタンをクリックし、適当な別名を与えます。この時、マルウェアであることが絶対に間違いないファ イルだけリネームします
(手順-9).BlackLight以外のアプリケー ションを全て閉じます。
(手順-7).変更を有効にするためにコンピュータを 再起動します。
(手順-7).再起動後リネームされた隠しファイルは 可視になります。BlackLight(Beta)を起動しリネームした隠しファイルが発見されないことを確認します。
§6.トラブルシューティング (1).BlackLight(Beta)で検出でき ないように細工してあるスパイウェアがあります。この場合は"blbeta.exe"を"blbeta"を含まないパスにリネームしてください。
(2).BlackLight(Beta)は幾つかの 重要なシステムファイル(explorer.exe, iexplore.exe)をリストアップすることがあります。この現象はマルウェアが故意に、もしくは偶然にこれらシステムファイルを隠している可能性 があります。このような場合リストアップされたファイルをリネームしてはいけません。また、重要なシステムファイルなのかマルウェアなのか識別することが 出来ないファイルもリネームしてはいけません。
(3).BlackLight(Beta)が作成する ログファイルは実行ファイルを保存した場所にあります。ファイル名は、"fsbl-<date-and-time>.log"です。
このディレクトリが書込み禁止属性に設定されている場合、ログファイルはユーザのテンポラリディレクトリに作成されます。このディレクトリにアクセスする ためにはExplorerのアドレスバーに %TMP% または %TEMP% と入力してください。
(4).BlackLight(Beta)がリスト アップするファイルは、ユーザが通常のWindowsツールでは閲覧することが出来ないファイルだけです。通常のWindowsツールでは閲覧することが 可能な、ユーザが独自に隠し属性にしたファイルやアプリケーションが誤操作を防ぐために隠し属性に設定してあるファイルは検出しません。
(5).多くのファイルを含んでいるディレクトリが存 在する場合、BlackLight(Beta)がフリーズしているように見えます。暫くスキャン状況を見守ってください。
(6).ファイルをリネームしても、そのファイルが可 視にならず、BlackLight(Beta)もリストアップしない場合があります。この場合、既に隠しファイルにはなっていません(通常の Windowsツールでは閲覧することが可能という意味において)。Explorerのフォルダオプションから「隠しファイルとフォルダを表示する」に チェックを入れます。「保護されているシステムファイルを隠す」のチェックを外してください。この操作で可視属性になるはずです。
(7).BlackLight(Beta)のアンイン ストールはダウンロードしたファイルそのものを削除してください。インストールを行いませんので「プログラムの追加と削除」からは削除できませんし、「ア ンインストーラ」もついていません。
(8).BlackLight(Beta)のアンイン ストールはダウンロードしたファイルそのものを削除してください。インストールを行いませんので「プログラムの追加と削除」からは削除できませんし、「ア ンインストーラ」もついていません。
(9).BlackLight(Beta)稼動中にシ ステム上に任意の名前のプロセスが存在し、さらに、"C:\Documents and Settings\\Local
Settings\Temp"に"EXE"ファイルが存在します。これは、BlackLight(Beta)のスキャンエンジンがランダムな名前(任意の
8文字.exe)で別々のプロセスとして稼動しています。このファイルとプロセスはスキャンしている間だけ存在します。
Rootkitsを用いて不可視属性にされたマルウェアを発見し駆除するソフトとしてF-SecureからBlackLight(Beta)が提供されて います。
この他にも、RootkitRevealerがSysinternalからリリースされています。こちらもFreeです。
以下はF-SecureのサイトからBlackLight(Beta)に関する部分の和訳が中心です。 §2.動作環境 BlackLight(Beta)は32-bit Windowsでのみ動作します。
- ・Windows 2000 Sp0〜Sp4
- ・Windows XP Sp0〜Sp2
- ・Windows 2003 Server Sp0、Sp1
- ・Windows NT、95、98、ME、64-bit Windowsでは動作しません。
- ・使用期間が存在しますが度々延長されています。
- ・「BlackLightはセキュリティの向上を目指す全てのコンピュータユーザの要求にこたえるつもりである」と宣言されてい ますので、正式リリース版では、Windows ME 等にも対応するかもしれません。
Rootkitsを組み込まれたウィルス、スパイウェア、ワーム、バックドア等はアンチウィルスソフトを最新の定義、最新のプログラムで保護していても検 出されることなくシステム中にずっと居続けます。今や、Rootkitsは重大な脅威になってきています。
スパイウェア作成業界ではRootkitsの組み込みは常識化しているといわれています。そして、現在報告されている被害状況は、このテクノロジの持つ潜 在的脅威に比べるとずっと小さいとも言われています。
以下が、Rootkitsを組み込んだ代表的マルウェアです。
- ・Rootkitsそのもの ; Hacker Defender、FU
- ・スパイウェア・アドウェア ; EliteToolbar、ProAgent、Probot SE
- ・トロイの木馬 ; Berbew/Padodor、Feutel/Hupigon
- ・ワーム ; Myfip.h、Maslan-family.
まだまだ少なく、効果のほどは"?"なのですが、最近Rootkitsの検出機能を持ったアンチウィルスも出てきています。 Rootkitsの組み込みが常識化してきているように、悪意あるプログラムの作成者はよりプロフェッショナルになってきています。「なぜ、このような悪 意あるプログラムを作るのか?」この疑問に対する答えを一言で表せば「金銭目的」です。
個人情報は買い手がいます。また、それぞれ顧客の要求に応じたマルウェアが販売されています。直ぐに検出・駆除される物より長期間潜伏し検出されない物の 方が高く売れます。
Rootkitsを組み込んだマルウェアは着実に増加しています。 §4.BlackLight(Beta)について BlackLight(Beta)はフィンランドのセキュリティメーカーF-SecureによってリリースされたRootkits駆除ソフトです。汎用さ れているセキュリティソフトでは検出できないマルウェアを発見し、「駆除するか否か」ユーザに尋ねます。まさに、システムの深層に潜んでいるマルウェアに ブラックライトを当てて発見するわけです。BlackLight(Beta)の主目的は「Rootkitsを組み込んだマルウェアとの戦いと撲滅にある」 とF-Secureは宣言しています。また、自身の名前を変更して削除されることを妨害するマルウェアの駆除にも有効です。
BlackLight(Beta)は疑わしいオブジェクトの長大なリストを作成、表示してユーザを悩ませるようなことはしません。技術や経験を持たない ユーザでも利用できるように作られています。F-Secure BlackLight Rootkit Elimination Technologyは通常起動の間でもバックグラウンドで稼動するように設計されています。多くのスキャナのようにスキャン中に他の操作をしたら、再起 動が要求されたり、誤検出したりというようなことはありません。
BlackLightは個人ユーザ、ビジネスユーザ共にサポートされています。 最近、マルウェア作成者は新しい手口として「Hidden from by F-Secure BlackLight Rootkit Elimination Technology!」(F-Secure BlackLightから身を隠す)というトロイの木馬を発表しています。このスパイウェアは、現在の所 BlackLightのプロセスを識別するだけのものです。BlackLightの検出を逃れているわけではありません。 §5.BlackLight(Beta)使用方法 05−01.ダウンロード、インストール ダウンロードは以下のF-Secureのサイトから"I Accept"ボタンをクリックしてください。開いたページに"download"ボタンがありますので、これをクリックします。
http://www.f-secure.com/blacklight/try_blacklight.html インストールの必要はありません。ダウンロードしたblbeta.exeファイルをダブルクリックすれば、BlackLightは起動します。 05−02.BlackLight(Beta)の実行 (手順-1).開いている全てのソフトを終了させま す。
このソフトは本来バックグラウンドでも動作するように設計されていますが、Beta版のため他のソフトを終了させておくことが推奨されています。
(手順-2).blbeta.exeをダブルクリック してBlackLight(Beta)起動。
このソフトを実行するには管理者権限でログオンしておく必要があります。
(手順-3).起動画面(上図)で"Scan"ボタン をクリック。
途中でスキャンを停止したい時は"Stop"ボタンをクリックします。
スキャン終了後"Show all process"ボタンが表示されますが、これはアドバンスドユーザ向けです。無視して差し支えありません
(手順-4).隠しアイテムが発見されると、そのアイ テムのタイプと名前が表示されます。
(手順-5).表示された隠しアイテムの情報を閲覧し ます。
ダイアログに表示される各アイコンの説明
- ・ファイルのアイコン = 隠し属性のファイル。
- ・歯車のアイコン = 隠しプロセス
- ・歯車付きファイルのアイコン = 隠しファイルが隠しプロセスに関連付けられている場合
(注意1).BlackLight(Beta)は何を リストアップしているか???
BlackLight(Beta)はシステム中の隠しファイルをリストアップしますが、リストアップされたデータは幾つか違う意味を持っています。
- ・ステルスになっているウィルス、スパイウェア、Rootkits等がリストアップされます。
- ・マルウェアのエラーによって正常なファイルを隠してしまった場合、この正常なファイルはリストアップされます。この現象は「驚 くほど一般的」であると言われています。
- ・マルウェアが故意に正常で重要なシステムファイルを隠すことがあります。このような場合もリストアップされます。このファイル をリネームしたり削除したりするとシステムは深刻な状態になります。いわゆる"poison pill(ポイズン・ピル)"です。
- ・無害な隠しファイルやプログラム。ある種のアプリケーションはシステム中で隠しファイルとなっています。一台のマシンを複数の ユーザが使用する場合に、他のユーザから内容を隠すため。あるいは、リストア情報を隠しファイルにして誤って削除されないようにするためです。このような アプリケーションをインストールした覚えがある場合は、このケースに該当するか否か十分チェックしてください。
- ・誤検出。Blacklight(Beta)は既に非常に正確です。したがって誤検出はまず無いと考えて差し支えないのですが可 能性としては存在しています。
- ・もしもコンピュータがハッキングされていることが間違いないのであれば、隠しファイルだけ削除しても満足行く結果とはなりませ ん。隠しファイルを削除しただけではハッカーはあなたのコンピュータにアクセスすることがまだ可能だからです。このような場合の唯一の有効な手段はハード ディスクをフォーマットしリカバリすることです。
- ・まずリストアップされた隠しファイルが正常なアプリケーションの一部でないことを確実にしてください。この操作の後、あなたの
システムにRootkitsが存在するのであれば、BlackLight(Beta)のリネーム機能を使ってRootkitsを無効化します。
なお、実行ファイルがあるフォルダにログファイルが作成されます。
(手順-7).コンピュータの大事なデータをバック アップします。
(手順-8).(手順-4)で表示された隠しファイル の内のリネームしたいファイルを選択。"Rename"ボタンをクリックし、適当な別名を与えます。この時、マルウェアであることが絶対に間違いないファ イルだけリネームします
(手順-9).BlackLight以外のアプリケー ションを全て閉じます。
(手順-7).変更を有効にするためにコンピュータを 再起動します。
(手順-7).再起動後リネームされた隠しファイルは 可視になります。BlackLight(Beta)を起動しリネームした隠しファイルが発見されないことを確認します。
§6.トラブルシューティング (1).BlackLight(Beta)で検出でき ないように細工してあるスパイウェアがあります。この場合は"blbeta.exe"を"blbeta"を含まないパスにリネームしてください。
(2).BlackLight(Beta)は幾つかの 重要なシステムファイル(explorer.exe, iexplore.exe)をリストアップすることがあります。この現象はマルウェアが故意に、もしくは偶然にこれらシステムファイルを隠している可能性 があります。このような場合リストアップされたファイルをリネームしてはいけません。また、重要なシステムファイルなのかマルウェアなのか識別することが 出来ないファイルもリネームしてはいけません。
(3).BlackLight(Beta)が作成する ログファイルは実行ファイルを保存した場所にあります。ファイル名は、"fsbl-<date-and-time>.log"です。
このディレクトリが書込み禁止属性に設定されている場合、ログファイルはユーザのテンポラリディレクトリに作成されます。このディレクトリにアクセスする ためにはExplorerのアドレスバーに %TMP% または %TEMP% と入力してください。
(4).BlackLight(Beta)がリスト アップするファイルは、ユーザが通常のWindowsツールでは閲覧することが出来ないファイルだけです。通常のWindowsツールでは閲覧することが 可能な、ユーザが独自に隠し属性にしたファイルやアプリケーションが誤操作を防ぐために隠し属性に設定してあるファイルは検出しません。
(5).多くのファイルを含んでいるディレクトリが存 在する場合、BlackLight(Beta)がフリーズしているように見えます。暫くスキャン状況を見守ってください。
(6).ファイルをリネームしても、そのファイルが可 視にならず、BlackLight(Beta)もリストアップしない場合があります。この場合、既に隠しファイルにはなっていません(通常の Windowsツールでは閲覧することが可能という意味において)。Explorerのフォルダオプションから「隠しファイルとフォルダを表示する」に チェックを入れます。「保護されているシステムファイルを隠す」のチェックを外してください。この操作で可視属性になるはずです。
(7).BlackLight(Beta)のアンイン ストールはダウンロードしたファイルそのものを削除してください。インストールを行いませんので「プログラムの追加と削除」からは削除できませんし、「ア ンインストーラ」もついていません。
(8).BlackLight(Beta)のアンイン ストールはダウンロードしたファイルそのものを削除してください。インストールを行いませんので「プログラムの追加と削除」からは削除できませんし、「ア ンインストーラ」もついていません。
(9).BlackLight(Beta)稼動中にシ ステム上に任意の名前のプロセスが存在し、さらに、"C:\Documents and Settings\