読者の皆さんは自分のラップトップのスマート・カード・リーダーを使ったことはあるだろうか?使ったことはない?そうか、そうは思っていなかった。
(読者の半数は、そもそもあることに気づいてさえいなかったのでは。)
Windowsユーザなら、コントロール パネルを開いて、管理ツール、サービスと進み、Smart Cardサービスを停止する。また、スタートアップの種類を変更して、システムと同時に起動しないようにする。
完了しただろうか?よろしい。
これで使っていないサービスでリソースを浪費することがなくなった。おまけにShylockと呼ばれるマルウェアがシステムに悪影響を及ぼすこともない。
それはなぜか?
Shylockは実行時にSmart Cardサービスをチェックし、存在しなければ終了するのだ。
Shylock 1
そして、それだけではない。当社Threat ResearchチームのMarkoは、Shylockがメモリやハード・ディスクの空きをチェックすることも突き止めた。
メモリ・チェックは以下のとおり。
Shylock 2
最低256MBが要求される。
Shylock 3
続いて以下が、ハード・ディスク関連のチェックだ。
Shylock 4
Shylock 5
そして「Shylock 3」の図より、合計のディスク容量が少なくとも12GBなければならないことが分かる。
ここで、読者の皆さんは疑問に思っているかもしれない。Shylockはなぜこんなに細かいのか?
もっともありそうな答えは、アンチウイルス・ベンダーにデバッグされるのを回避しようとしている、というものだ。アンチウイルス・ベンダーは一般に調査に仮想環境を用いる。そしてそのような仮想環境には、仮想スマート・カード・リーダーのようなものが常に含まれるわけではないのだ。とはいうものの…、時には含まれる。
次はがんばれ、Shylock。
SHA1:386ccfc028ac4986def3954cfce8af541330fa36
(読者の半数は、そもそもあることに気づいてさえいなかったのでは。)
Windowsユーザなら、コントロール パネルを開いて、管理ツール、サービスと進み、Smart Cardサービスを停止する。また、スタートアップの種類を変更して、システムと同時に起動しないようにする。
完了しただろうか?よろしい。
これで使っていないサービスでリソースを浪費することがなくなった。おまけにShylockと呼ばれるマルウェアがシステムに悪影響を及ぼすこともない。
それはなぜか?
Shylockは実行時にSmart Cardサービスをチェックし、存在しなければ終了するのだ。
Shylock 1
そして、それだけではない。当社Threat ResearchチームのMarkoは、Shylockがメモリやハード・ディスクの空きをチェックすることも突き止めた。
メモリ・チェックは以下のとおり。
Shylock 2
最低256MBが要求される。
Shylock 3
続いて以下が、ハード・ディスク関連のチェックだ。
Shylock 4
Shylock 5
そして「Shylock 3」の図より、合計のディスク容量が少なくとも12GBなければならないことが分かる。
ここで、読者の皆さんは疑問に思っているかもしれない。Shylockはなぜこんなに細かいのか?
もっともありそうな答えは、アンチウイルス・ベンダーにデバッグされるのを回避しようとしている、というものだ。アンチウイルス・ベンダーは一般に調査に仮想環境を用いる。そしてそのような仮想環境には、仮想スマート・カード・リーダーのようなものが常に含まれるわけではないのだ。とはいうものの…、時には含まれる。
次はがんばれ、Shylock。
SHA1:386ccfc028ac4986def3954cfce8af541330fa36
