Gate.Wormファイル感染ウイルスの最新バージョンを発見 - マカフィー
Gate.Wormに感染した場合、正規コードに制御を戻せなくなる仕様で、特定のアプリケーションが起動しなくなり、マルウェアコードのみが実行される。
このバージョンは2013年の「Obfuscated-FBU!hb」による寄生型ウイルスの変種と類似しているが、作者は別の人物。新しいコードは以前のコードに似ているが、機能がかなり減らされているという。マルウェアの目的は、SecurityGate.ruグループがテストサンプルとして作成したものと推測している。
セキュリティブログによると、マルウェアがコンピューターに侵入して感染させるまでの挙動は以下の通り。
まず、IsDebuggerPresent Windows APIを呼び出して、プロセスがデバッグ中かどうかを確認する。マルウェアの作者はこの機能を使用して、デバッグによって"悪質なバイナリ"の分析を防止する。
チェックの結果がtrueの場合、マルウェアは実行を終了する。
次にマルウェアはコンソールウィンドウを開き、「SAFEMODE: This WORM is designed only to test…with respect SafetyGate.ru.」 というメッセージを表示する。
GetCurrentDirectoryAを使用して現在のディレクトリを取得し、そこに含まれるすべてのファイルを列挙する。そのために、マルウェアはFindFirstFileA and FindNextFileAを使用してファイル名配列を作成する。
現在のフォルダ内の全ファイルを配列に追加したら、マルウェアはマルウェアファイルのファイルサイズを計算し、マルウェアサンプル全体をクリーンファイルの冒頭に挿入してコンピューターに感染する。
感染後は、MZ構造がマルウェア本体に置き換えられ、元のファイルは単なるオーバーレイデータとして存在するようになるため、感染したクリーンファイルを実行できなくなる。
さらに、感染ファイルに以下のような形式のシグネチャを追加する。
感染ルーチンは現在のフォルダ内のすべてのサンプルに対して繰り返し実行され、プロセスが終わると、マルウェアはSleep APIを呼び出して10秒間実行を停止する。
その後、コンソールウィンドウを閉じてマルウェアプロセスを終了する。最後は、感染したすべてのサンプルに以下のようなアイコンが表示される。
オーバーレイに複数のオリジナルサンプルが含まれた感染サンプルも存在する。感染ファイルはすでに感染していたファイルが含まれることがあるため、このような状況が発生する。
新しいクリーンファイルがこのサンプルに感染すると、新たに感染したファイルには過去に感染していたファイル(複数の場合もある)とマルウェアコード、新しいシグネチャが含まれる。
ポータブルな実行可能ファイルだけではなく、あらゆる種類のファイルがこのマルウェアに感染する。このようにして、ホストコンピュータの現在のフォルダ内の大半のファイルがウイルスに感染してしまう。
通常、ユーザーはファイルをダウンロードフォルダ、ドキュメントフォルダ、デスクトップフォルダにダウンロードするが、フォルダによって影響度が違う。
マルウェアにはネットワーク機能がなく、外付けドライブを感染させることはできない。被害者が直接ダウンロードして実行するか、感染したサンプルを外付けドライブに手動でコピーし、別なシステムで実行する以外、このマルウェアをまん延させることはできないという。
提供元の記事
提供:
関連リンク
-
30代女性から圧倒的支持! 月岡ツキの等身大の言葉を綴る最新エッセイ『傷つきながら泳いでく』
-
ミュウミュウ「Miu Miu Manifeste」ポップアップが伊勢丹新宿店と名古屋タカシマヤに登場──2026年春夏のコードを再解釈
-
「安月給のパートはブランド品買う権利ないからw」事務パートを見下してブランドバッグを自慢してくるお局社員⇒しかし「それ本物じゃないよね」と指摘されて・・・
-
【開始15分で目標金額達成】超軽量140g・スマホサイズで持ち運べる「NANOPLUS キャリーオンバッグ」Makuakeにて公開初日に目標達成
-
公園で筋トレをする男性にまとわりつく猫 その2週間後…?「この幸せそうな顔を見て!」