今回はWINCE_BRADOR.Aを取り上げる。この不正プログラムはWindows CEおよびWindows Mobileシステム上で動作するワーム型に分類される不正プログラムである。

 トレンドマイクロでは不正プログラムの活動内容を一目で把握できるようにウイルス名の最初に接頭辞をつけている。例えば,ワーム活動を行う不正プログラムには「WORM_」,トロイの木馬型の不正プログラムには「TROJ_」といった具合である。その他にその不正プログラムが活動する「MAC_」「OSX_」などプラットフォームから接頭辞が付けられるものもある。

 今回取り上げる「WINCE_」は,Windows CE(PocketPC)で動作する不正プログラムに付けられる接頭辞である。その他にも携帯電話関連では,Symbian OSで動作する不正プログラムには,「SymbOS_」といった接頭辞がある。

 今回取り上げるWINCE_BRADOR.Aは,2004年8月に出現した。WINCE_BRADOR.Aに感染すると,攻撃者に対して感染を知らせる通知メールを送信し,攻撃者が携帯電話に不正侵入できるようになるバックドア型の不正プログラムである。

 検証環境用に1台のマシンを用意した。テスト機はWindows XP SP2をインストールした。テスト機上で,Windows Mobile 6エミュレータ(以下,エミュレータ)とネットワークパケット・キャプチャ・ツール,バイナリ・エディタ,逆アセンブル・ツールをインストールし,そのほかにエミュレータ上にタスクマネージャやレジストリエディタをインストールした(図1)。

図1●Windows Mobile 6エミュレータをテスト機上にインストールした
[画像のクリックで拡大表示]

 テスト機上で共有フォルダを作成し,エミュレータ上からStorage Cardとして認識するように設定を行った上で,Storage Card上にWINCE_BRADOR.A本体である,BRADOR.exeを置いた。続いて,エミュレータ上でWINCE_BRADOR.Aを実行し,動作を検証する(図2)。

図2●Storage Card上にWINCE_BRADOR.A本体をコピー
[画像のクリックで拡大表示]

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら