2015年11月11日 18:25
Gate.Wormファイル感染ウイルスの最新バージョンを発見 - マカフィー
マカフィーは11月9日、Gate.Wormファイル感染ウイルスの最新バージョンに関する情報をセキュリティブログで公開した。
Gate.Wormに感染した場合、正規コードに制御を戻せなくなる仕様で、特定のアプリケーションが起動しなくなり、マルウェアコードのみが実行される。
このバージョンは2013年の「Obfuscated-FBU!hb」による寄生型ウイルスの変種と類似しているが、作者は別の人物。新しいコードは以前のコードに似ているが、機能がかなり減らされているという。マルウェアの目的は、SecurityGate.ruグループがテストサンプルとして作成したものと推測している。
セキュリティブログによると、マルウェアがコンピューターに侵入して感染させるまでの挙動は以下の通り。
まず、IsDebuggerPresent Windows APIを呼び出して、プロセスがデバッグ中かどうかを確認する。マルウェアの作者はこの機能を使用して、デバッグによって"悪質なバイナリ"の分析を防止する。
チェックの結果がtrueの場合、マルウェアは実行を終了する。
次にマルウェアはコンソールウィンドウを開き、「SAFEMODE: This WORM is designed only to test…with respect SafetyGate.ru.」