ニュース
» 2006年04月10日 22時34分 UPDATE

WindowsもLinuxもターゲット、クロスプラットフォームウイルスのサンプルコード

WindowsとLinux、両方のシステムに感染可能な「クロスプラットフォーム」ウイルスのコンセプト実証コードが登場した。

[Ryan Naraine,eWEEK]
eWEEK

 Kaspersky Labのウイルス研究者らが、WindowsとLinux、両方のシステムに感染可能な「クロスプラットフォーム」ウイルスのコンセプト実証コードを発見した。

 Viruslist(訳注:同社のブログ)へ投稿されたアラートの中で、Kasperskyは、サンプルウイルスには「Virus.Linux.Bi.a/ Virus.Win32.Bi.a」という二重の名前が与えられたと述べ、さらに攻撃者がマルウェアを用いて複数のプラットフォームをターゲットにしている点を強調した。

 同社はアラートの中で、「このウイルスには何ら実用的な機能は含まれていない。クロスプラットフォームウイルスの作成が可能であることを示すために書かれた、典型的なコンセプト実証コードだ」と述べている。

 しかし、Kaspersky Labの上級テクニカルコンサルタント、シェーン・コーセン氏によると、コンセプト実証コードというものは修正され、模倣的な攻撃に利用されるのが常だという。

 コーセン氏はeWEEKのインタビューに対し、「将来、われわれはこうした種類の攻撃を見ることになるだろう」と述べた。「実際にこうしたことが可能であることは分かった。そして、マルウェア作者が、1つのマルウェアで複数のOSをターゲットにしたがる明確な理由も存在する」(同氏)

 「Windowsを攻撃し、かつLinuxやMacのマシンに感染する機能も備えるウイルスが登場し始めている。単一のウイルスがこれら3つのプラットフォームすべて、さらにはそれ以外のプラットフォームにも広がることを想像するのは、決して無理な解釈ではない」(コーセン氏)

 Kasperskyの分析によると、クロスプラットフォームウイルスのサンプルはアセンブラで書かれており、カレントディレクトリ内のファイルだけに感染する。「しかし、LinuxとWindowsでそれぞれ用いられている、ELFとPEという異なるファイルフォーマットに感染できる機能を備えている点は興味深い」とアラートは記している。

 Wind32が動作しているシステムに感染する際、このウイルスはKernel32.dllの機能を用いる。Kernel32.dllの最後のセクションにコードを書き込み、エントリーポイントを書き換えることでコントロールを奪うという。

 Kasperskyによる警告は、Web上の悪意ある活動を観測しているボランティアグループ、SANS ISC(Internet Storm Center)のインシデントハンドラーの興味も引いたようだ。

 ISCのボランティアであるスワ・フランツェン氏は、コンセプト実証コード「それ自体の影響は非常に低い」としながらも、これは、マルウェアが備えるクロスプラットフォームの機能が重要になってきている兆しだと述べた。

 「今日でさえ、訪問者にエクスプロイット(攻撃コード)を送りつけるWebサイトは、アクセスしてきたユーザーがどんなブラウザやプラットフォームを用いているかを検出し、それに合致したものを送り出して複数のマルウェアをインストールさせ、その数に応じた取り分を儲けようとしている」(フランツェン氏)

原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ