ニュース
» 2007年06月30日 10時03分 UPDATE

初のフルカーネルマルウェア? スパム送信もカーネルモードで実行

Symantecによると、MPACK攻撃で感染するトロイの木馬「Srizbi」は、ユーザーモードを使わずにスパムを送信できる初のフルカーネルマルウェアと見られる。

[ITmedia]

 セキュリティ企業のSymantecは、各国で多発している「MPACK」攻撃で感染するマルウェアの中に、フルカーネルのマルウェアを発見したと報告した。実際の悪用目的でフルカーネルマルウェアが出回ったのは恐らく初めてだとしている。

 トロイの木馬「Srizbi」は、MPACK攻撃で乗っ取られたサイトを閲覧すると感染するマルウェアの1つ。いったんインストールされると、ユーザーモードを一切使わずに、スパム送信も含めてすべての動作をカーネルモードから実行できる機能を持つという。

 Srizbiのドライバ(windbg48.sys)には、Rootkitを使って身を隠す機能とスパム送信の2つの機能があるが、Rootkitコードの方は新しいものではないという。特徴的なのはスパム送信コードの方で、カーネルモードから直接ネットワーク接続を操作するという複雑な機能を実装。ファイアウォールに妨げられることなく、ネットワークを使った行動をすべて隠すことができるという。

 Symantecの調べでは、Srizbiは外部のドメインからZIPファイルをダウンロードしてくる。このファイルには、スパム送信に使うメールサーバのドメインや氏名一覧、メールアドレス、メッセージ本文などが含まれていた。

 今回のサンプルはまだβ段階で、過去に出現したRootkitの「Rustock」と同じ作者が作ったものと見られるが、機能はもっと進化しているとSymantecは指摘。いずれ新しいバージョンが出てくるのは確実だと予想している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ