Storm Wormは仮想環境がお嫌い? 高度化するマルウェアのAV対抗機能
SANSによると、Storm Wormは自分が実行されているのが仮想環境かどうかをまずチェックする。
グリーティングカードメールなどを使って感染を拡大しているマルウェアのStorm Wormは、ウイルス対策研究をかわすため、仮想環境では感染しない仕組みを導入していることが分かった。SANS Internet Storm Centerがサイトで報告している。
Storm Wormはグリーティングカードや世間で関心の高いニュースなどに便乗したスパムを利用、悪質なWebサイトを閲覧させてユーザーのシステムに感染する。SANSによると、そのコードはほかのマルウェアよりもはるかに高度で、rootkitなどの機能を使って検出されにくい仕組みが確立されているという。
Storm Wormは自分が実行されているのが仮想環境かどうかをまずチェックする。最近のマルウェアはこの機能を実装するものが増えているという。ウイルス対策(AV)ソフトメーカーなどがマルウェアを分析する際は、まず隔離された環境で実行し、動作を検証するのが一般的なため、これを免れるのが目的とみられる。
マルウェアが仮想マシンを検出して動作を切り替えれば、対策側はマルウェアを物理環境で実行しなければならなくなり、分析が難しくなる。
Storm Wormの場合、仮想マシンの2大製品であるVMwareとMicrosoftのVirtualPCを検出すると、マシンをリブートさせて感染しない仕組みになっているという。
ただ、こうした機能は「諸刃の剣」だともSANSは解説する。仮想マシンは特にサーバで人気が上昇中で、今後ユーザーが増えるのは確実だが、マルウェアが仮想マシン検出機能を実装していれば、感染できるマシンの数は相当減ってしまうからだ。
SANSは、そうなったときにマルウェアが戦術を切り替えるのかどうかは興味深いとしている。
関連記事
- Storm Worm攻撃、今度は「ワーム感染警告」スパムで拡散
「ワームに感染した可能性があります」。グリーティングカード偽装、米独立記念日便乗に続き、今度はサポートセンターからの注意喚起メールを装ったスパムが出回っている。 - 米独立記念日を狙った攻撃が浮上 5901番ポートスキャンも急増
- Storm Wormがまたまた猛威、「家族からのeカード」に注意
- 進化続けるStorm Worm、RAR圧縮に愛のメッセージも利用
- 「Storm Worm」再び、亜種が感染拡大
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.