Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

感染の隠蔽工作も高度化? 定義ファイルで他マルウェアを停止させる「W32.Wergimog.B」

シマンテックは、FacebookなどSNSへ不正なメッセージを投稿するワーム「W32.Wergimog.B」を確認した。PC利用者にマルウェア感染を悟られないようにする高度な機能を備えている。

問題のマルウェアは、リムーバブルドライブ経由で感染し、バックドアを設置するワーム「W32.Wergimog」の亜種。「DoS攻撃」のほか、ネットサービスのパスワードを窃取する機能も搭載していた。

SNSに対する不正投稿では、自身が直接投稿するのではなく、「Internet Explorer」「Firefox」といった他アプリケーションの通信内容を改ざん。ユーザーが投稿するタイミングで、外部のコマンド&コントロールサーバーから入手した内容を、「Facebook」や「Twitter」「Linkedin」「Myspace」などへ書き込む。

また感染被害を気が付かせないよう、他マルウェアの活動を停止させることも大きな特徴。複数のマルウェアに対応する定義ファイルを用いて、通信内容より他マルウェアを検出、プロセスを終了するなど、IPSに類似しているという。

これまでも他マルウェアの活動を妨害するマルウェアは存在したが、ファイルパス、プロセス名、レジストリのチェックなど単純で、同ワームとは手法が異なるという。

シマンテックでは、他脅威とともに駆除されることを回避するための活動と分析。 ワームの推移を引き続き監視していくとしている。

(Security NEXT - 2012/05/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

日本シーサート協議会の初イベント、新旧の交流の場に - テーマは「絆」
盆休み「6日以上」が35%、長期休暇に備えセキュリティ対策を
ネットワーク経由のマルウェア検出が急上昇 - 「WannaCrypt」が影響
「VirusTotal」にCylanceエンジン - 「WannaCrypt」検知で優位性に自信
ランサムウェア「Petya」、わずか1日足らずで65カ国へ拡大
「Petya」亜種、複数ベンダーがメールによる拡散を確認 - 会計ソフトの更新機能も標的に
「Petya」拡散、「WannaCrypt」と同じ脆弱性を悪用 - 犯人と連絡取れず、身代金支払いは無駄に
キヤノン、複合機やプリンタ利用者に更新呼びかけ - 「WannaCrypt」感染のおそれも
ランサム攻撃発動しない「WannaCrypt」亜種が拡散 - 潜伏に注意
MS、国家関与などで脅威高まる脆弱性を公表 - 旧OSにパッチ供給、ゼロデイ脆弱性にも対応