感染の隠蔽工作も高度化？　定義ファイルで他マルウェアを停止させる「W32.Wergimog.B」

シマンテックは、FacebookなどSNSへ不正なメッセージを投稿するワーム「W32.Wergimog.B」を確認した。PC利用者にマルウェア感染を悟られないようにする高度な機能を備えている。

問題のマルウェアは、リムーバブルドライブ経由で感染し、バックドアを設置するワーム「W32.Wergimog」の亜種。「DoS攻撃」のほか、ネットサービスのパスワードを窃取する機能も搭載していた。

SNSに対する不正投稿では、自身が直接投稿するのではなく、「Internet Explorer」「Firefox」といった他アプリケーションの通信内容を改ざん。ユーザーが投稿するタイミングで、外部のコマンド＆コントロールサーバーから入手した内容を、「Facebook」や「Twitter」「Linkedin」「Myspace」などへ書き込む。

また感染被害を気が付かせないよう、他マルウェアの活動を停止させることも大きな特徴。複数のマルウェアに対応する定義ファイルを用いて、通信内容より他マルウェアを検出、プロセスを終了するなど、IPSに類似しているという。

これまでも他マルウェアの活動を妨害するマルウェアは存在したが、ファイルパス、プロセス名、レジストリのチェックなど単純で、同ワームとは手法が異なるという。

シマンテックでは、他脅威とともに駆除されることを回避するための活動と分析。 ワームの推移を引き続き監視していくとしている。

（Security NEXT - 2012/05/28 ） ツイート

PR

関連記事

悪意あるファイル5％増、URLは6割減 - カスペ調査
ルータなどで広く利用されるDNSに脆弱性「DNSpooq」が判明
フィッシング詐欺やスパイウェアに対応 - Norton最新シリーズ
Windowsに危険度高い脆弱性「Bad Neighbor」 - ワーム発生に要警戒
「Windows DNS Server」の脆弱性、ワーム転用のおそれ - 早急に対処を
MTA「Exim」に対する攻撃が拡大 - 脆弱なサーバは360万台以上稼働か
MSが定例外アップデート、「SMBv3」処理の脆弱性を解消
「Emotet」に近接「Wi-Fi」経由で感染を拡大する機能
「Emotet」など複数マルウェア、新型コロナ拡大に便乗 - フィッシングも
「BlueKeep」など既知RDP脆弱性狙う攻撃に注意 - パッチ適用の徹底を