Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Symantec、異なる実行環境の実行ファイルに感染する「Xpiro」亜種を確認

Symantecは、異なる実行環境の実行ファイルへ感染する機能を備えた「Xpiro」のあらたな亜種を確認した。ブラウザへ機能拡張をインストールし、情報を盗み出す機能も備えていた。

同社が確認した「W32.Xpiro.D」「W64.Xpiro」は、32ビット環境である「Intel 386」にくわえ、64bit環境である「Intel 64」「AMD64」の環境に対応したウイルス。

32ビットの感染ファイルから、64ビットの実行ファイルへ感染するなど、異なる環境のファイルへ感染でき、拡大を広げて行くことが可能だという。

感染活動としては、最初に「win32」のサービスに対して感染を試み、次にデスクトップフォルダやスタートメニューフォルダにあるリンクファイルから実行ファイルを探し出して感染。最終的には、固定ドライブ、リムーバブルドライブ、ネットワークドライブなどの実行ファイルへ感染する。

さらにブラウザ「Firefox」「Chrome」の拡張機能を追加し、ブラウザのセキュリティ設定を脆弱な状況へ変更。

これらブラウザによるインターネットへの接続を監視し、情報を外部へ漏洩する。また他マルウェアが感染するおそれがある特定のサイトに対するリダイレクトや、感染を気が付かれないよう隠蔽する機能も備えていた。

(Security NEXT - 2013/07/25 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

セキュリティ対策の注意喚起メールが実はマルウェアメール - 実在するアナウンスを盗用
悪用難しいと思われた「Office脆弱性」、公表2週間でマルウェアに - Visa偽装メールで拡散
ギフト券30万円分の受注に見せかけたマルウェアメールが流通
金融機関や物流事業者名乗るマルウェアメールに注意を
米警告の北朝鮮サイバー攻撃 - 国内では未確認
「Ursnif」の感染活動で複数のサンドボックス回避技術を利用
北朝鮮サイバー攻撃の脅威データを「STIX」で公表 - 「FALLCHILL」「Volgmer」の感染チェックを
銀行装うマルウェア感染メールに注意 - 法人向けの文面なども
「会員情報変更」を装う偽楽天メール、11月6日ごろより増加
佐川急便装う「偽請求メール」、中身はマルウェア - パソコンからのアクセス促す