SANSによると、Storm Wormは自分が実行されているのが仮想環境かどうかをまずチェックする。
グリーティングカードメールなどを使って感染を拡大しているマルウェアのStorm Wormは、ウイルス対策研究をかわすため、仮想環境では感染しない仕組みを導入していることが分かった。SANS Internet Storm Centerがサイトで報告している。
Storm Wormはグリーティングカードや世間で関心の高いニュースなどに便乗したスパムを利用、悪質なWebサイトを閲覧させてユーザーのシステムに感染する。SANSによると、そのコードはほかのマルウェアよりもはるかに高度で、rootkitなどの機能を使って検出されにくい仕組みが確立されているという。
Storm Wormは自分が実行されているのが仮想環境かどうかをまずチェックする。最近のマルウェアはこの機能を実装するものが増えているという。ウイルス対策(AV)ソフトメーカーなどがマルウェアを分析する際は、まず隔離された環境で実行し、動作を検証するのが一般的なため、これを免れるのが目的とみられる。
マルウェアが仮想マシンを検出して動作を切り替えれば、対策側はマルウェアを物理環境で実行しなければならなくなり、分析が難しくなる。
Storm Wormの場合、仮想マシンの2大製品であるVMwareとMicrosoftのVirtualPCを検出すると、マシンをリブートさせて感染しない仕組みになっているという。
ただ、こうした機能は「諸刃の剣」だともSANSは解説する。仮想マシンは特にサーバで人気が上昇中で、今後ユーザーが増えるのは確実だが、マルウェアが仮想マシン検出機能を実装していれば、感染できるマシンの数は相当減ってしまうからだ。
SANSは、そうなったときにマルウェアが戦術を切り替えるのかどうかは興味深いとしている。
Copyright © ITmedia, Inc. All Rights Reserved.