Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Symantec、異なる実行環境の実行ファイルに感染する「Xpiro」亜種を確認

Symantecは、異なる実行環境の実行ファイルへ感染する機能を備えた「Xpiro」のあらたな亜種を確認した。ブラウザへ機能拡張をインストールし、情報を盗み出す機能も備えていた。

同社が確認した「W32.Xpiro.D」「W64.Xpiro」は、32ビット環境である「Intel 386」にくわえ、64bit環境である「Intel 64」「AMD64」の環境に対応したウイルス。

32ビットの感染ファイルから、64ビットの実行ファイルへ感染するなど、異なる環境のファイルへ感染でき、拡大を広げて行くことが可能だという。

感染活動としては、最初に「win32」のサービスに対して感染を試み、次にデスクトップフォルダやスタートメニューフォルダにあるリンクファイルから実行ファイルを探し出して感染。最終的には、固定ドライブ、リムーバブルドライブ、ネットワークドライブなどの実行ファイルへ感染する。

さらにブラウザ「Firefox」「Chrome」の拡張機能を追加し、ブラウザのセキュリティ設定を脆弱な状況へ変更。

これらブラウザによるインターネットへの接続を監視し、情報を外部へ漏洩する。また他マルウェアが感染するおそれがある特定のサイトに対するリダイレクトや、感染を気が付かれないよう隠蔽する機能も備えていた。

(Security NEXT - 2013/07/25 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

サーバ3台がランサムウェア被害 - 岡野バルブ製造
カプコンへの不正アクセス、侵入経路は予備に残した以前のVPN機器
ランドブレインのランサム被害、総務省3事業でも個人情報流出の可能性
一部顧客情報が流出、委託先の中継サーバで窃取 - ホテルサンルート台北
グループ従業員のID管理サーバがランサム被害 - 共英製鋼
公共事業受託事業者のランサム被害、流出範囲特定で難航か
委託先サーバがランサム感染、被害範囲を調査中 - 茨木市
委託先でランサムウェア感染、情報流出の可能性 - 千葉県芝山町
委託先でランサム被害、影響は調査中 - 岸和田市
INPIT委託先で「Emotet」感染 - 使用許可取消後のテレワーク端末で