合理化と安定化の飽くなき追求 Storm Wormが「スリム化」

「sony.exe」などのファイル名で出回っているStorm Wormの最新亜種は、過去の亜種にあった主要機能の一部が削除されているという。

[ITmedia]

　マルウェアのStorm Worm（Symantecの名称は「Trojan.Peacomm」）が感染力を高めるため、中心的なコンポーネントを書き換えたり削除したりしているという。セキュリティ企業のSymantecが11月1日のブログで伝えた。

　Symantecによると、このほど出現した亜種の「Peacomm.D」は、「halloween.exe」「sony.exe」などのファイル名で出回っているが、興味深いことに、過去の亜種にあった主要機能の一部が削除されているという。

　具体的にはシステム上でほかの正規ドライバに感染する機能と、Explorer.exeやServices.exeなどの正規プロセスに自らを挿入する機能が削除された。

　こうしてOSの正規コンポーネントへの依存度を低めた代わりに、独自の新しいコンポーネントを取り入れて同じ機能を持たせている。最新亜種のドライバは、ほかのコンポーネントへの関与を従来よりも減らしながら、同じようなステルス機能を実現しているという。

　作者は外部コンポーネントへの依存度を低め、複雑さを解消したいと考えたのだろうとSymantecは推測。基盤となるアーキテクチャーをスリム化すれば、今後のアップデートもしやすくなる。また、従来バージョンには正規システムドライバの操作に関して安定性の問題があったこともうかがわせるという。

　Storm Wormがこのように継続的な合理化と複雑さ解消、安定化が図られている状況では、今後も感染拡大が続くことが予想され、当分勢力が衰えることはなさそうだとSymantecはみている。