ACQUAã®ããã12æ19æ¥äºåã ã¼ãã¼
何千ものWebサイトが多くのセキュリティ製品が扱うことができない強力な悪意のあるソフトウェアを提供するように調整されています。
悪意のあるソフトウェアは、Mebrootの新しい亜種です。 Windowsオペレーティングシステムは、セキュリティ会社Prevxの研究担当ディレクターのJacques Erasmus氏は述べています。
Symantecが2007年12月頃に登場したMebrootの以前のバージョンは、よく知られた技術を使って隠されていました。コンピュータのマスタブートレコード(MBR)に感染します。
[詳しい情報:Windows PCからマルウェアを削除する方法]MBRがハッカーの管理下にある場合は、その全体がコンピュータとその上にある、またはインターネットを介して送信されたいかなるデータであってもよい」とErasmus氏は言います。
Mebrootが登場して以来、セキュリティベンダーはソフトウェアを洗練して検出しました。しかし、最新のバージョンでは、はるかに洗練された技術を使って隠されている、とErasmus氏は言います。
Mebrootは、プログラムフックをカーネルのさまざまな機能やオペレーティングシステムのコアコードに挿入します。 Mebrootが奪取されると、マルウェアは改ざんされていないように見える。
「何かがMBRをスキャンしようとすると、セキュリティソフトウェアに完全に見栄えの良いMBRが表示される」とErasmus
その後、コンピュータがブートされるたびに、Mebrootはsvc.hostなどのメモリ内のWindowsプロセスに自分自身を注入します。エラスムス氏によると、Mebrootは好きな情報を盗み、HTTP経由でリモートサーバーに送ることができるという。 NetScoreなどのネットワーク解析ツールは、Mebrootがトラフィックを隠蔽してからデータが漏出することに気づかないだろうと、Erasmus氏は述べている。Prevxは、同社の消費者顧客の1人が感染した後、Mebrootの新しい変種を見た。 MebrootがどのようにしてOSに組み込まれているかを正確に把握するには、分析者が数日かかった。エラスムス氏は、「現時点では、誰もが、アンチマルウェアエンジンを修正して見つけようと努力していると思う」と述べた。エラスムスによると、Webブラウザに適切なパッチを持たない脆弱なコンピュータにMebrootを配布するために何千ものWebサイトがハッキングされているようだ。
感染メカニズムはドライブバイダウンロードと呼ばれている。これは、ハッキングされた正当なWebサイトにユーザーがアクセスしたときに発生します。サイトに移動すると、目に見えないiframeに、ブラウザに脆弱性があるかどうかを確認するためのテストを開始するエクスプロイトフレームワークが読み込まれます。そうであれば、Mebrootは配信され、ユーザーは何も気付かない。
「現在はかなり野生である」とErasmus氏は述べている。 「あなたが行ったときはどこでも、あなたは感染する機会があります」。
Mebrootを書いた人は不明ですが、ハッカーの目的の1つは、できるだけ多くのコンピュータに感染させることです。
Prevxは、自社製品のセキュリティ製品で、ウイルス対策ソフトウェアと連携して、ドライブバイブサーバの悪用、パスワード盗難、ルートキット、不正なウイルス対策ソフトウェアを検出します。このソフトウェアはマルウェアの感染を無料で検出しますが、ユーザーは完全な駆除機能を得るためにアップグレードする必要があります。しかし、Prevx 3.0は、Mebrootなどの悪意ある悪意のあるソフトウェアのほか、アドウェアとして知られている広告ソフトウェアを無料で削除する、とErasmus氏は述べている。