Symantec、異なる実行環境の実行ファイルに感染する「Xpiro」亜種を確認

Symantecは、異なる実行環境の実行ファイルへ感染する機能を備えた「Xpiro」のあらたな亜種を確認した。ブラウザへ機能拡張をインストールし、情報を盗み出す機能も備えていた。

同社が確認した「W32.Xpiro.D」「W64.Xpiro」は、32ビット環境である「Intel 386」にくわえ、64bit環境である「Intel 64」「AMD64」の環境に対応したウイルス。

32ビットの感染ファイルから、64ビットの実行ファイルへ感染するなど、異なる環境のファイルへ感染でき、拡大を広げて行くことが可能だという。

感染活動としては、最初に「win32」のサービスに対して感染を試み、次にデスクトップフォルダやスタートメニューフォルダにあるリンクファイルから実行ファイルを探し出して感染。最終的には、固定ドライブ、リムーバブルドライブ、ネットワークドライブなどの実行ファイルへ感染する。

さらにブラウザ「Firefox」「Chrome」の拡張機能を追加し、ブラウザのセキュリティ設定を脆弱な状況へ変更。

これらブラウザによるインターネットへの接続を監視し、情報を外部へ漏洩する。また他マルウェアが感染するおそれがある特定のサイトに対するリダイレクトや、感染を気が付かれないよう隠蔽する機能も備えていた。

（Security NEXT - 2013/07/25 ）ツイート