IntelliTrap機能とは、自動実行型の圧縮ファイル(パッカー)をルールベース方式（不正プログラムが持つ典型的な特徴をベース）で警告させるための新機能です。従来のウイルス検出方法は、ウイルスパターンファイルとの比較（パターンマッチング方式）により不正プログラムの判定を行っています。IntelliTrap機能では、昨今の不正プログラムが持つ典型的な特徴の一つである自動実行型の圧縮ファイル形式をウイルスとして検知いたします。これにより、典型的な特徴を有する不正プログラムに対し、ウイルスパターンファイルの対応を待つことなくその脅威に対し防ぐことを期待することができます。また、圧縮ファイルを展開させることなく不正プログラムの判定を行うため、検体の判定に要する時間短縮についても期待することが可能です。

■ 目次
この製品Q&Aでは次の情報を公開しています。
1. 解説
2. IntelliTrapパターンファイルアップデート
3. IntelliTrap機能設定方法
4. 寄せられる質問

■ 解説
2004年末よりボット系ウイルス「WORM_AGOBOT」、「WORM_SDBOT」、「WORM_RBOT」の亜種が非常に大量に発見され、既に1万種類を超えています。これらボット系ウイルスでは悪意あるユーザにより、パッカー（UPX, burneye, shiva, tElock, ASPackなど）と呼ばれる特殊な自動実行型の圧縮ファイルで簡易的にウイルスコードの亜種を複数作成される傾向が確認されています。たとえば「WORM_AGOBOT」ウイルスだけで、すでに500種以上の亜種のボット系ウイルスが存在し、その内470種は圧縮アルゴリズムを変えただけの亜種です。

図1 ボット系ウイルスの出現推移

悪意あるユーザはパッカーによる圧縮によって、不正なプログラムの難読化（Obfuscated）効果を期待しています。パッカーにより圧縮されたプログラムはその機能は維持しつつ、全く異なるプログラム構造へと変化させることができます。下図はUPXにて圧縮された「WORM_NETSKY.C」ウイルス（図2）とUPXを展開（アンパック）した「WORM_NETSKY.C」ウイルス（図3）の実行ファイルをバイナリエディタにて比較したものです。

図2 UPX圧縮されたWORM_NETSKY.C
UPXにて圧縮されていることを示すヘッダ情報を確認することができます。

図3 UPX展開（アンパック）されたWORM_NETSKY.C
展開（アンパック）により、UPXヘッダ情報が無くなりUPX圧縮の実行ファイルとは異なるバイナリデータ構造となっていることが確できます。図2と図3は異なるバイナリデータ構造ですが、その機能（ウイルスの脅威）は全く同一のものです。

トレンドマイクロのウイルス検索エンジンは、パッカーにより圧縮された不正なプログラムを展開（アンパック）し、オリジナルのコードに基づきパターンマッチング方式の検索処理を行います。このため、複数のパッカーを利用した亜種の出現は脅威になり得ません。
しかしながら、悪意あるユーザはウイルス解析者が行う簡易解析作業を妨害しウイルスパターンファイルが作成されるまでの時間を長期化させる効果を期待しています。
先の例にある「WORM_NETSKY.C」ウイルスにはその不正な実行ファイル中に作者やマスメーリング活動の傾向を示す文字列がハードコードされています。悪意あるユーザはパッカーによって圧縮することでこのようなウイルス作者の痕跡を容易に確認できないようにすることが可能です。
図4はUPX圧縮、UPX展開（アンパック）したWORM_NETSKY.C（friend_me.exe）をstringsコマンドによりバイナリデータを文字化しています。

図4 stringsコマンドによるWORM_NETSKY.Cのバイナリデータ文字化
UPXにて圧縮されたWORM_NETSKY.C（friend_me.exe）より"sky"を含む文字列をfindstrコマンドにより該当行の抽出を行った場合、何ら抽出は行われません。
しかしながら、展開（アンパック）後のWORM_NETSKY.C（friend_me.exe）より"sky"文字列を含む該当行の抽出を行った場合、ウイルス作者特定につながる文字列を確認することができます。

トレンドマイクロでは、悪意あるユーザによって行われるウイルスパターンファイルの作成時間長期化を狙った行為に対し、プログラムの動作を監視し、「ルール」と合致する動作をするプログラムを警告するルールベース方式（IntelliTrap機能）の検索処理により対応します。
IntelliTrap機能とは、パッカーにより圧縮されたプログラムを「PAK_GENERIC.001」/「PAK_GENERIC.002」の検出名にて予防的に警告を行います。これにより、ウイルス作者が狙うウイルスパターンファイルの作成時間長期化妨害活動を回避し、パッカーにより圧縮された不正なプログラムの脅威に対し対策を行うことが可能です。

図5 IntelliTrap機能の動作フロー
パターンマッチング方式にて判定を行った後にIntelliTrap機能によりルールベース方式による判定が行われます。このため、既にウイルスパターンファイルにて定義されたウイルスに関しては正確な検出名にて警告を確認することが可能です。

目次に戻る

■IntelliTrapパターンアップデート

目次に戻る

■ IntelliTrap機能設定方法
IntelliTrap機能は各製品 の管理コンソールより設定が可能です。詳細は各製品の管理者ガイド等をご参照ください。

注意：
IntelliTrap機能を利用する際にはウイルス対策製品にて[駆除できない場合の処理]として[ウイルス隔離]を設定してください。IntelliTrap機能による検出名「PAK_GENERIC.001」/「PAK_GENERIC.002」はこれまでに確認されていないウイルス的な動作をするプログラムに対する警告です。このため、実際には不正なものではないなんらかのプログラムに対し警告を行っている場合があります。特定のファイルからIntelliTrap機能によって警告された場合、検出したファイル自体を検体として送付ください。

目次に戻る

■寄せられる質問

Q. IntelliTrap機能とは、ウイルス検索エンジンのリリースノートにて告知されていたMailTrap機能とは異なる機能でしょうか。

A. MailTrap機能はIntelliTrap機能に改称しました。これらは同じ機能に関する名称です。e-mailに特化した機能ではなく、広く一般に対する振る舞い検出に対する機能との位置づけにより機能名称を改称いたしました。

目次に戻る