ニュース
マルウェア「Duqu」が再び出現、新たな手口を実装
Symantecによると、Duquの新バージョンでは一部のセキュリティ製品による検出を免れるため、コードに手が加えられていた。
米Symantecは3月21日のブログで、マルウェア「Duqu」の新たなバージョンが見つかったと伝えた。
同社によると、今回見つかったのはコンピュータを再起動した際にマルウェアを読み込むために使われるローダーファイルのコンポーネント。同社は引き続き、関連するコンポーネントの監視を続けているという。同コンポーネントがコンパイルされた日付は2012年2月23日となっており、出現してからまだそれほど時間はたっていないとみられる。
これまでのバージョンと比較したところ、一部のセキュリティ製品による検出を免れるため、コードに手が加えられていることが判明。ディスク上のコンポーネント暗号化に使われているアルゴリズムが変更されているほか、バージョン情報でMicrosoftのクラスドライバを装っているなどの違いがあった。
Duquは2011年に出現し、産業インフラを狙うマルウェアの「Stuxnet」と酷似していたことから注目された。その後も何度か新たなバージョンが出現し、Symantecではこれまでのバージョンが実際に使われたことも確認しているという。今回のバージョンについてはまだ情報が不十分だが、攻撃者が現在も活動していることを物語るものだと解説している。
関連記事
- Stuxnetに酷似のマルウェア「Duqu」が出現、産業インフラ狙いの攻撃再来か
- 新手のマルウェア「Duqu」、Windowsカーネルの未解決の脆弱性を利用
- とにかく狙われた企業や個人――2011年のセキュリティ脅威動向
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.