合理化と安定化の飽くなき追求 Storm Wormが「スリム化」
「sony.exe」などのファイル名で出回っているStorm Wormの最新亜種は、過去の亜種にあった主要機能の一部が削除されているという。
マルウェアのStorm Worm(Symantecの名称は「Trojan.Peacomm」)が感染力を高めるため、中心的なコンポーネントを書き換えたり削除したりしているという。セキュリティ企業のSymantecが11月1日のブログで伝えた。
Symantecによると、このほど出現した亜種の「Peacomm.D」は、「halloween.exe」「sony.exe」などのファイル名で出回っているが、興味深いことに、過去の亜種にあった主要機能の一部が削除されているという。
具体的にはシステム上でほかの正規ドライバに感染する機能と、Explorer.exeやServices.exeなどの正規プロセスに自らを挿入する機能が削除された。
こうしてOSの正規コンポーネントへの依存度を低めた代わりに、独自の新しいコンポーネントを取り入れて同じ機能を持たせている。最新亜種のドライバは、ほかのコンポーネントへの関与を従来よりも減らしながら、同じようなステルス機能を実現しているという。
作者は外部コンポーネントへの依存度を低め、複雑さを解消したいと考えたのだろうとSymantecは推測。基盤となるアーキテクチャーをスリム化すれば、今後のアップデートもしやすくなる。また、従来バージョンには正規システムドライバの操作に関して安定性の問題があったこともうかがわせるという。
Storm Wormがこのように継続的な合理化と複雑さ解消、安定化が図られている状況では、今後も感染拡大が続くことが予想され、当分勢力が衰えることはなさそうだとSymantecはみている。
関連記事
- “踊るがい骨”でトリック仕掛けるハロウィーン便乗マルウェア
がい骨を躍らせるゲームサイトやeカードスパムなど、ハロウィーン便乗攻撃が今年も発生した。 - Storm Wormのボットネット「切り売り」が可能に
40バイト鍵を使った暗号化機能搭載のStorm Wormが出現。Storm Wormがさらに増える前兆かもしれないという。 - 子猫の次はネットワーキングアプリ、Storm Worm次の一手
今度のStorm Wormは「Krackin v1.2」というネットワーキングアプリケーションを装っている。 - 子猫の写真で感染、Storm Wormが手口切り替え
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.