Windows Script Encoder なるものがある。これは、クライアントサイドで実行される JavaScript や VBScript をエンコードするもの。

http://www.microsoft.com/downloads/details.aspx?FamilyID=2976ee94-bec5-4314-84fd-8d7ec891c1c5&displaylang=ja

スクリプトはソースコードが第三者から丸見えだ。つまり大事な知的財産がダダ漏れとなる。知的財産っていってしまうと大袈裟かもしれないが、大事なノウハウを隠せず、勝手に改変されてしまう可能性もある。そこで、ソースコードの露出度を抑えようということで開発されたのがこの仕組み。なのだが、最近では悪性コードにこのエンコードがかけられている。解析を困難にさせるような流行りの難読化ってやつだ。このエンコード自体はけっこう昔からあるものなのだが、最近になってよく聞くようになった。

このエンコードは「暗号化」とまではいえないものらしい。まぁ広義でいえば「暗号化」といえるかもしれないが、昨今の暗号強度の発展からいえば、とてもその強度は暗号と呼べるものではない。（あくまで「crypt」や「cipher」ではなく「encode」なのだと勝手に思ってみる）。まぁ、そんなに重くもできるわけないけどね。

MSのサイトにも以下のような文言がある。

エンコードされた内容が悪意のあるユーザーによって解読されるのを防ぐことを目的としているものではありません。

なるほど。じゃ、自分みたいなプログラマのハシクレでもあっさりデコードできるんだろうか。まぁ、Web上を探せばデコードツールなんて山ほどあるんだろう思うけど、ここはあえて、まず自力でトライ。自力で解析できれば目や勘を養うこともできるだろうと。

Windows Script Encoderの使い方はこのあたりを見てもらうこととして、

WSHスクリプト・コードを暗号化する
http://www.atmarkit.co.jp/fwin2k/win2ktips/443wshenc/wshenc.html

ツールの動きを見てみる。以下のスクリプト部分を Script Encoder にかけてみる。

<SCRIPT LANGUAGE="VBScript">
　　　　Dim x
　　　　x = "aa"
　　　　MsgBox x
</SCRIPT>

見事に一見では無意味な形にしてくれる。

<SCRIPT LANGUAGE="VBScript.Encode">#@~^MAAAAA==@#@&d7ifb:PX@#@&7di6~',JCCr@#@&i7dt/o~GaPX@#@&d7VAcAAA==^#~@</SCRIPT>

たぶんシンタックスまで見てエンコードしてないだろう（単にスクリプト部分を文字列としてエンコードしているだけ）と思うので、以下のように単純なパターンを変えてエンコードしてみる。

<SCRIPT LANGUAGE="VBScript">a</SCRIPT>
↓
<SCRIPT LANGUAGE="VBScript.Encode">#@~^AQAAAA==CYQAAAA==^#~@</SCRIPT>

<SCRIPT LANGUAGE="VBScript">b</SCRIPT>
↓
<SCRIPT LANGUAGE="VBScript.Encode">#@~^AQAAAA==8YgAAAA==^#~@</SCRIPT>

<SCRIPT LANGUAGE="VBScript">c</SCRIPT>
↓
<SCRIPT LANGUAGE="VBScript.Encode">#@~^AQAAAA==^YwAAAA==^#~@</SCRIPT>

<SCRIPT LANGUAGE="VBScript">ab</SCRIPT>
↓
<SCRIPT LANGUAGE="VBScript.Encode">#@~^AgAAAA==C(wwAAAA==^#~@</SCRIPT>

<SCRIPT LANGUAGE="VBScript">abc</SCRIPT>
↓
<SCRIPT LANGUAGE="VBScript.Encode">#@~^AwAAAA==C(mJgEAAA==^#~@</SCRIPT>

<SCRIPT LANGUAGE="VBScript">abcd</SCRIPT>
↓
<SCRIPT LANGUAGE="VBScript.Encode">#@~^AwAAAA==C(mJgEAAA==^#~@</SCRIPT>

頭の「#@~」から「==」まではの12バイトはヘッダっぽい。末尾にもフッタのようなものがついている。これも12バイトだとしてこれらを無視すると、「a」→「C」、「b」→「B」、「c」→「^」と単純な1バイトごとの変換か？いや、「ab」→「C(」、「abc」→「C(m」となっているので、そんな単純な話ではなさそうね。

abcde → C(m[
abcdef → C(m[0
abcdefghijklmn → C(m[0TtkN3^hx

こう見えると全体の長さは変えてないようで何となく規則性は見受けられる。でも「a」→「C」、「b」→「(」という単純な変換ではない。

bca → 81l
cba → ^(l
cab → ^m4

になるから。先頭に来る文字は1文字で変換したものと同じだ (「a」→「C」、「b」→「8」、「c」→「^」）。「b」が２文字目にくる場合は「(」だ。「a」が2文字目にくる場合は「m」だ。では.....

aaa → Cml
bbb → 8(4
ccc → ^1m

お、やはり。もしかして、何か決まったパターンと論理演算しているのでは？引き続き...

aaaaaa → CmlCml
bbbbbb → 8(48(4
cccccc → ^1m^1m
aaaaaaaaa → CmlCmlmll
bbbbbbbbb → 8(48(4(44
ccccccccc → ^1m^1m1mm
aaaaaaaaaaaaaaaa → CmlCmlmllmlmClml
bbbbbbbbbbbbbbbb → 8(48(4(44(4(84(4

やはりそうっぽい。ではマスクしているビットパターンは何だろう。

「a」→「0x61」→「0110 0001」
              XOR  0010 0010
「C」→「0x43」→「0100 0011」
        
「b」→「0x62」→「0110 0010」
             XOR   0001 1010
「8」→「0x38」→「0011 1000」

「c」→「0x63」→「0110 0011」
             XOR   0011 1100
「^」→「0x5E」→「0101 1111」

あああああ....一致しない......微妙にマスクするビットパターンを変えているのか。

いまだに驚異になっているリムーバブルメディアで感染を広げる「MAL_OTORUN」。トレンドマイクロの3月インターネット脅威リポートにおいても8か月連続で被害報告数ベスト（ワースト？）1。大流行のConfickerもリムーバルメディア経由での感染機能を持っている。

マルウェアの実行はautorun.infを用いて自動実行するのは周知のこと。では、感染活動のほうに目を向けるとどうなのか。つまり、USBフラッシュに自分自身をコピーするのはどうやってるんだろう。プログラム側でUSBフラッシュが接続されたことを認識する必要がある。

実はこれは至って簡単で、Windowsは、USBフラッシュメモリの挿入を含めHWデバイスに変更が発生すると、すべてのアプリケーションに対して、「WM_DEVICECHANGE」メッセージを送信する。プログラム側でイベントハンドラを定義してこのメッセージを受け取った時の処理を記述すればいい(ファイルをコピーするとか)。

やってみた。
ダイアログベースのアプリケーション（DetectUSBDrive）を作成。直接処理とは関係ないがワームっぽくするためにダイアログ自体を非表示にする。

これは OnWindowPosChanging() をオーバーライドして、以下のようにとするだけでいい。これでプログラムを実行してもウィンドウは画面上に表示されない。

void CDetectUSBDriveDlg::OnWindowPosChanging(WINDOWPOS * lpwndpos)
{
    lpwndpos->flags &= ~SWP_SHOWWINDOW;
    CDialog::OnWindowPosChanging(lpwndpos);
}

WM_DEVICECHANGEメッセージ処理関数（今回はOnMyDeviceChange）をメッセージマップを追加。ヘッダファイルにもオーバーライド定義。

BEGIN_MESSAGE_MAP(CDetectUSBDriveDlg, CDialog)
	ON_MESSAGE(WM_DEVICECHANGE, OnMyDeviceChange)
	ON_WM_PAINT()
	ON_WM_QUERYDRAGICON()
	ON_WM_WINDOWPOSCHANGING()
	//}}AFX_MSG_MAP
END_MESSAGE_MAP()

Dbt.hのincludeを忘れずに。

#include <Dbt.h>

メッセージ処理関数 OnMyDeviceChange() の本体について、単にHWデバイスが追加されたことだけ拾えればいいのであれば以下のようになる。

LRESULT CDetectUSBDriveDlg::OnMyDeviceChange(WPARAM wParam, LPARAM lParam)
{
         CString mes = _T("");
	switch(wParam)
	{
	case	DBT_DEVICEARRIVAL:
		mes = _T("デバイスが使用可能になりました");
		break;
         }

         AfxMessageBox(mes);

         return 0;
}

ここまでで、とりあえずプログラムを実行してUSBフラッシュを差してみた。ちゃんと検出した。

ちなみにイベントの種類はほかにもあって、この場合、wParamには以下のような値が入ってくる。

DBT_DEVICEARRIVAL デバイスが挿入されていて、使用できる状態です. 
DBT_DEVICEQUERYREMOVE デバイスを削除するための許可が要求されています.
DBT_DEVICEQUERYREMOVEFAILED デバイスを削除する要求がキャンセルされました.
DBT_DEVICEREMOVEPENDING デバイスが削除されようとしています.拒否できません.
DBT_DEVICEREMOVECOMPLETE デバイスが削除されました.
DBT_DEVICETYPESPECIFIC デバイス固有のイベントです.
DBT_CONFIGCHANGED 現在の設定が変更されました.
DBT_DEVNODES_CHANGED デバイス ノードが変更されました.

Device Management Events
http://msdn.microsoft.com/en-us/library/aa363232(VS.85).aspx

検知できることは分かったがそのほかの詳細情報は取得できないものか。ファイルをコピーするんだったら、少なくともマッピングされたドライブ文字くらいは知りたい。
実はこれらの情報 DEV_BROADCAST_USERDEFINED 構造体を辿るとことで分かる。そしてイベント処理関数に渡ってくるlParamにはこの構造体のポインタが格納されている。

DEV_BROADCAST_HDR Structure
http://msdn.microsoft.com/en-us/library/aa363246(VS.85).aspx

そしてこの構造体の dbch_devicetype にはイベント特有の情報が含まれていて、今回の場合ドライブ文字を取得したいので、dbch_devicetype が DBT_DEVTYP_VOLUME であるイベントを取得する。こんな感じ。
で、DEV_BROADCAST_VOLUME構造体 の dbcv_unitmask にドライブ文字を指定する情報が格納されている。これはDWORD型で0bit目が立っていれば「A」1ビット目が立っていれば「B」.....ということ。

DEV_BROADCAST_HDR* pHdr = (DEV_BROADCAST_HDR*)lParam;
switch(pHdr->dbch_devicetype)
{
　case DBT_DEVTYP_VOLUME:
　{
　　　DEV_BROADCAST_VOLUME *pVol = (DEV_BROADCAST_VOLUME*)pHdr;
　　　if(pVol)
　　　{
         CString str;
         str.Format(_T(":%d"), pExtend->dbcv_unitmask);
         mes += str;
      }
   }
   break;
}

まとめると、ものすごく簡単だが、デバイスの挿入を検知してマップされた論理ドライブ文字を取得するためだけの機能を持った OnMyDeviceChange() は以下のようになる。

LRESULT CDetectUSBDriveDlg::OnMyDeviceChange(WPARAM wParam, LPARAM lParam)
{
   if(wParam == DBT_DEVICEARRIVAL)
   {
      DEV_BROADCAST_HDR* pHdr = (DEV_BROADCAST_HDR*)lParam;
      if(pHdr)
      {
        if(pHdr->dbch_devicetype == DBT_DEVTYP_VOLUME)
        {
           DEV_BROADCAST_VOLUME* pVol = (DEV_BROADCAST_VOLUME*)pHdr;
           
           if(pVol)
           {
              CString mes;
              mes.Format(_T("Detect->[%ld]"), pVol->dbcv_unitmask);
              AfxMessageBox(mes);
           }
        }
      }
    }
    return 0;
}

実行してみた。

4096 は 2の12乗なので「M」を表す。実際にMドライブにマップされている。

ちゃんちゃん。特にまとめはない。だからなんだ？って感じになってしまった。

スパムでばらまいたりWebにホスティングしたりすることに比べて、一気に爆発的に増殖数を増やすことはできなさそうだけど、増殖方法としてはお手軽でいいかもね。

職場の同僚がBitTorrentからウィルスを拾ってきた。ウイルスの種類はこれ。

http://canon-its.jp/product/eset/topics/malware0811.html

WMA/TrojanDownloader.GetCodec.Gen はメディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。WMA/TrojanDownloader.GetCodec.Genは、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援するWimad.Nと深い関わり合いを持つダウンローダーです。

とのこと。最近、バイナリエディタと仲良しなので面白そうだと思って。できるところまでやってみた。

まず、WMAファイルの仕様があるかどうかを調べてみた。
うーむ、見つからない。

仕様書そのものは見つからなかったけど、WMAファイルについて調べていると実は、WMAファイルのフォーマットは、ASFファイルフォーマットをベースにしているらしい。

初めて知った。

でもって、ASFのファイルフォーマットはMicrosoftから公開されている。

http://www.microsoft.com/windows/windowsmedia/forpros/format/asfspec.aspx

う、英語だ。つらい。

まぁ、とりあえず概要だけでもと思って読み始めてみる。構造体の羅列。そしてオブジェクトの種類ごとに固定GUIDが振られている。そのGUIDは必ずオブジェクトの先頭に付加されているので、

ファイルをそのGUIDで検索すれば、それ以降が実際のデータの中身ということだ。

今回、ストリームデータそのものは特に関係ないと思ったので、メタデータ的なオブジェクトに絞って、ファイル内をGUIDで検索。......でもあまりにその数が多い。でも、だいぶ読み方がわかってきた。

そこで、外部から何やらダウンロードしてくるという動作から、中にURLを持っているはずだと思って、ファイル内を検索してみる。すると、2つのURLらしきものがヒットした。

１．www.773four.com

２．dudethisishowwedoitallnightlong.2myip.net/

1は実際にあるレコードレーベル。問題なさそうだ。名前からしても２が怪しい。
"dude this is how we do it all night long"だって。

なので、この２のURLの記述がある周辺を当たってみた。GUIDでオブジェクトを指定していると言ったが、仕様書と見比べながら、よーく見てみると、URLの記述のちょっと上にそのGUIDが存在する。

これは、仕様書によると、「ASF_Script_Command_Object」と言って、WMAファイルに埋め込めるスクリプトの情報が含まれているらしい。これはいよいよ怪しい。

ちょうどここからが、コマンド文字列。

「URLANDEXIT」？なんのこっちゃ。

Webで、WMAスクリプト＋URLANDEXITで検索してみたところ、山ほどヒットした。ほとんどがマルウェア関連。
けっこうこのメディアファイルを使用したマルウェアダウンローダの解析をしている人はいっぱいいた。

http://www.docstoc.com/docs/3715914/sc-sep-08

どうやら、URLANDEXITコマンドはMediaPlayerへダウンロードを行うように発行するコマンドらしい。これは、いささかやばいと思ったのか、マイクロソフトがこのコマンドの有効/無効を切り替えるパラメータを外出し（レジストリ）にしてた。

http://support.microsoft.com/kb/828026

URLAndExitCommandsEnabled : URLAndExit スクリプト コマンドを有効にするかどうかを設定します。デフォルト値は 1 (有効) です。

どうも、MediaPlayerが不明のコーディックをダウンロードする処理を不正に利用しているのではなく、さも、そのように見せかけて、単にWMAスクリプトを実行しているだけのような気がする。

そもそも、WMAにスクリプトを埋め込めること自体知らんかった。知っていれば、Mediaファイルエディタなんかで開いてみれば一発でわかったかも。

ちなみに、ASF_Script_Command_Objectはひとつしか存在できず、その中に複数のコマンドを入れるらしい。今回の場合は、Commnads Countというパラメータの値が「1」だったので、そのほかのスクリプトは入ってなさそうだ。もっとほかに隠し機能があるかもしれないけど。