圧縮ファイルの一種であるが、クリックするとマルウェアプログラムが解凍されるだけでなく実行される。低予算で海外を一人で回る旅行者である「バックパッカー」をイメージし名付けられたと思われる。
「パッカー」は元来、単にデータ量を削減することを目的として開発・利用された圧縮ツールのことであり、実行ファイル(.exe)だけを圧縮するのが特徴だが、今では大半がマルウェアを圧縮するために用いられている。「コンプレッサー」(Compressor)と呼ばれることもある。
一般的な圧縮ツールであれば、複数のさまざまな形式のファイルを1つの圧縮ファイル(例えば「zip」や「rar」など)にすることが可能であり、解凍するとそのまま元のファイルを元に戻すだけであるが、パッカーの場合、実行ファイルを圧縮した結果はただのファイルではなく実行ファイルとして保存されるため、解凍すると直ちにプログラムが起動するという仕掛けになっている。
圧縮ファイルの中には元のファイル以外に、新たに解凍時に元のファイルを実行するプログラムが同梱されている。つまりパッカーで圧縮されたマルウェアは、一度ダブルクリックしただけで不正プログラムが起動してしまうのである。これが、攻撃者がパッカーを利用する第一の理由である。
また第二の理由として、実行ファイルが圧縮されているということは言い換えれば内容が暗号化されているということであるから、シグネチャを参照してマルウェアを検知する機能しか持たないセキュリティ対策ソフトでは、検知されない場合が発生したり、その他の機能によっても解析がしにくくなるからである。パッカーにもさまざまな種類があり、異なるパッカーが利用されれば、元のマルウェアが同じものであっても別のシグネチャが必要となってくる。
さらには、パッカーの中には、シグネチャを時間の経過と共に変化させて、マルウェア検知を困難にさせる機能を持つものもある。
ただし、ヒューリスティックエンジンなどを搭載している製品では、パッカーを使用して圧縮されたファイルに対してより注意を払って解析を行い、実際に起動させることなく仮想環境においてプログラムを実行させて挙動を確認し検知することが可能となっている。
代表的なパッカーとしては、以下のものが挙げられる。
- UPX (Ultimate Packer for Executables)(最もよく知られるフリーウェアツール)
- PECompact(シェアウェア)
- PKLite(シェアウェア)
- ASPack(シェアウェア)
- Pecompact(シェアウェア)
念のために繰り返すが、必ずしもこれらのパッカーで圧縮されているからといって、その中身がマルウェアと断定はできないが、くれぐれも注意しよう。
