初のフルカーネルマルウェア？ スパム送信もカーネルモードで実行

[ITmedia]

　セキュリティ企業のSymantecは、各国で多発している「MPACK」攻撃で感染するマルウェアの中に、フルカーネルのマルウェアを発見したと報告した。実際の悪用目的でフルカーネルマルウェアが出回ったのは恐らく初めてだとしている。

　トロイの木馬「Srizbi」は、MPACK攻撃で乗っ取られたサイトを閲覧すると感染するマルウェアの1つ。いったんインストールされると、ユーザーモードを一切使わずに、スパム送信も含めてすべての動作をカーネルモードから実行できる機能を持つという。

　Srizbiのドライバ（windbg48.sys）には、Rootkitを使って身を隠す機能とスパム送信の2つの機能があるが、Rootkitコードの方は新しいものではないという。特徴的なのはスパム送信コードの方で、カーネルモードから直接ネットワーク接続を操作するという複雑な機能を実装。ファイアウォールに妨げられることなく、ネットワークを使った行動をすべて隠すことができるという。

　Symantecの調べでは、Srizbiは外部のドメインからZIPファイルをダウンロードしてくる。このファイルには、スパム送信に使うメールサーバのドメインや氏名一覧、メールアドレス、メッセージ本文などが含まれていた。

　今回のサンプルはまだβ段階で、過去に出現したRootkitの「Rustock」と同じ作者が作ったものと見られるが、機能はもっと進化しているとSymantecは指摘。いずれ新しいバージョンが出てくるのは確実だと予想している。