昨年の 12 月にシマンテックは、64 ビット版 Windows 7 上で感染した tdpipe.sys というシステムドライバを解析しました。この感染を構成するのは、ドライバのインポートテーブルに追加された余分なインポートでした。

DiscPart という名前の pipe.sys からのインポートが、システムドライバ tdpipe.sys と同時に悪質なファイル pipe.sys をロードしますが、何もせずにただ元の処理に戻るだけです。

これは、危殆化したコンピュータの起動時にマルウェアを実行させるためにマルウェア作成者が使う常套手段です。この方法を使うと、マルウェアは検出可能なロードポイントを（レジストリとしてもリンクとしても）残さず、またファイルも最小限しか変更されないため、特定が難しくなるという利点があるからです。

このドライバで特異だったのは、感染後に署名されていたという点です。

再署名する方法があまり使われないのは、有効な証明書が必要になるからで、ほとんどの証明書は正規の所有者から盗み出されます。また、不正な利用が発覚したときには証明書が取り消されるため、署名付きの脅威が検出されずに存続できる期間は限られてしまうという理由もあります。しかも、まだ検出されていない複数の脅威に同じ証明書を使うと、いったん証明書が取り消されたときにはすべてが無効になってしまいます。

今回の脅威の場合、証明書が所有者によって取り消されたのは、利用されはじめてから 9 日後のことでした。

UAC のバイパス後に感染して署名された 64 ビット版システムドライバ | Symantec Connect