今回は新手のマルウエアに関連したブログを中心に紹介する。まず、トレンドマイクロが警告している「Crisis/MORCUT」。米ヴイエムウェアの仮想マシン上で拡散するとされるマルウエアで、トレンドマイクロがブログで警戒を促した。

 同社が以前このマルウエアについて取り上げたブログ記事では、「Mac OS Xを狙ったバックドア」と記述したが、今回報告を受けた亜種は、Windows上で実行され、興味深いことに仮想ディスクをマウントする。実行の際、ヴイエムウェアの設定ファイルをチェックして、ホストシステム上にインストールされている仮想マシンの場所を確認する。

 この亜種が最初にどのような経路で感染するかは現在詳しく調べているが、不正なJavaアプレットのダウンロードが発端になっていると見られる。不正Javaアプレットは「mac」ファイル(「OSX_MORCUT.A」として検出されるバックドア)と「win」ファイル(「WORM_MORCUT.A」として検出されるワーム)の2つのファイルでパッケージされている。winファイルはWindows上で実行され、以下のコンポーネントファイルを投下する。

・IZsROY7X.-MP (32ビットDLL)WORM_MORCUT.Aとして検出
・t2HBeaM5.OUk (64ビットDLL)WORM_MORCUT.Aとして検出
・eiYNz1gd.Cfp
・WeP1xpBU.wA (32ビットのデバイスドライバー)TROJ_MORCUT.Aとして検出
・6EaqyFfo.zIK (64ビットのデバイスドライバー)TROJ_MORCUT.Aとして検出
・lUnsA3Ci.Bz7 (32ビットDLL)無害のファイル

 トレンドマイクロの初期分析によると、WORM_MORCUT.AはUSBデバイスやヴイエムウェアの仮想ディスクを通じて拡散する機能を備えており、デバイスドライバーのコンポーネントである「TROJ_MORCUT.A」を使って仮想ディスクをマウントする。これらの機能から急激に感染するように思えるが、トレンドマイクロはこのブログ執筆時点で、WORM_MORCUT.AとTROJ_MORCUT.Aのいずれも広範な感染は確認していない。

 トレンドマイクロはWORM_MORCUT.AとTROJ_MORCUT.Aの分析に取り組んでおり、今後も情報を更新するとしている。なお、WORM_MORCUT.Aが投下するコンポーネントファイルは8月24日以降、「RTKT_MORCUT.A」として検出されている。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら