HDDのマスターブートレコード(MBR)に潜むrootkitが見つかったのに続き、セキュリティ企業のTrend Microは1月10日、マルウェアが使っているポートを隠してしまうrootkitを発見したと伝えた。
それによると、このrootkitの「ROOTKIT.DU」は、「ヘンタイ」スパムやeカードスパム経由で感染する「Pushdo」「Nuwar」(Storm Wormの別名)などのマルウェア亜種のコンポーネントになっている。これらマルウェアを実行すると、rootkitがダウンロードされ、感染マシンが使っているポートを隠してしまう。
ROOTKIT.DUはWindowsフォルダに「.sys」ファイルとして保存され、Windowsの「ntoskrnl.exe」ファイルに割り当てられた機能を変更して、マルウェアの実行プロセスを隠す仕組みになっているという。
ntoskrnl.exeはWindows NTベースのプラットフォームで基本的な機能の処理に使われるプログラム。変更されればシステムがクラッシュする可能性もある。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR