今度はポートを隠すrootkit、「ヘンタイ」スパムとも連動

「ROOTKIT.DU」はマルウェアと連動し、感染マシンが使っているポートを隠す機能を持つ。

» 2008年01月11日 10時41分 公開
[ITmedia]

 HDDのマスターブートレコード(MBR)に潜むrootkitが見つかったのに続き、セキュリティ企業のTrend Microは1月10日、マルウェアが使っているポートを隠してしまうrootkitを発見したと伝えた。

マルウェアが使用するポートをも隠し、発見を遅らせる(Trend Microのブログより)

 それによると、このrootkitの「ROOTKIT.DU」は、「ヘンタイ」スパムやeカードスパム経由で感染する「Pushdo」「Nuwar」(Storm Wormの別名)などのマルウェア亜種のコンポーネントになっている。これらマルウェアを実行すると、rootkitがダウンロードされ、感染マシンが使っているポートを隠してしまう。

 ROOTKIT.DUはWindowsフォルダに「.sys」ファイルとして保存され、Windowsの「ntoskrnl.exe」ファイルに割り当てられた機能を変更して、マルウェアの実行プロセスを隠す仕組みになっているという。

 ntoskrnl.exeはWindows NTベースのプラットフォームで基本的な機能の処理に使われるプログラム。変更されればシステムがクラッシュする可能性もある。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ