ESET、5年以上Linux/FreeBSDで活動する巧妙なマルウェア発見

は巧妙に作成されており、アセンブラから直接システムコールを呼んで動作している。さらにLinuxとFreeBSDの双方で動作するように巧妙に仕組まれており、最終的に/usr/bin/perlをexecve(2)システムコールで実行してPerlインタプリタを実行し、さらにそこにパイプ経由でスクリプトを流し込んで動作している。

このマルウェアはスパムの送信に使われることが多いとされているが、感染したシステムでは任意のコードを実行できてしまうため、スパム送信以外の目的でも活用されているものと考えられるという。また、ELFバイナリはLinuxとFreeBSDを対象としているが、Perlスクリプト部分はLinuxとFreeBSD以外にWindowsでも動作する仕組みになっている。

「Linux/Mumblehard」は短期的に見ると感染数が減少しているが、定期的に爆発的な感染を見せ、長期的に見ると総数を増やしている。今後も増加が推定されるため注意が必要。5年以上にわたってマルウェアは活動を続けており、「Linux/Mumblehard」の利用者はこの間感染したサーバを使って活動していたことになる。