Goziの最新の亜種は、rootkitのようにPC上で自身の存在を隠し、ウイルス対策ソフトから検出されないようにする。
ロシアのトロイの木馬「Gozi」の新たな亜種がWebに出回っている。今度の亜種はキーロガー機能と、自身にスクランブルをかけてウイルス対策ソフトから検出されにくくする機能で武装している。
このトロイの木馬は4月17日から拡散していると考えられている。今年に入ってから発見されたオリジナル版と同様に、暗号化されたSSLストリームからデータを盗む。
この最新の亜種は、米SecureWorksのセキュリティ研究者ドン・ジャクソン氏が5月7日に発見した。また同氏はこの亜種から、2000人の新たな被害者と、銀行口座、クレジットカード口座番号、社会保障番号など数千のアカウント記録を含むデータキャッシュを発見した。
SecureWorksの研究者らは、Goziが盗んだデータを保管するサーバがほかにもあるのではないかと考えているとジャクソン氏は言う。
「5月半ばよりも前に感染した場合、この亜種はrootkitのように動作し、PC上で自身の存在を隠し、たいていのウイルス対策ソフトから検出されないようにする」(同氏)
同氏は修復方法として、コンピュータをSafeモードでリブートして、ウイルス対策ソフトを実行する――そのソフトのベンダーがこの亜種に対応するシグネチャを用意している場合は――ことをホームユーザーに提案している。現在、約15社の主要ベンダーがこの亜種を検出するシグネチャを用意している。
この最新亜種は圧縮コンポーネントを持っており、それを使って実行に必要なコードを展開する。これらのコードが必要なくなったら再圧縮して、メモリ内のあらゆる動作をほとんど見えなくし、ウイルス対策ソフトのスキャンで検出されにくくする。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.