今回は新手のマルウエアに関連したブログを中心に紹介する。まず、トレンドマイクロが警告している「Crisis/MORCUT」。米ヴイエムウェアの仮想マシン上で拡散するとされるマルウエアで、トレンドマイクロがブログで警戒を促した。
同社が以前このマルウエアについて取り上げたブログ記事では、「Mac OS Xを狙ったバックドア」と記述したが、今回報告を受けた亜種は、Windows上で実行され、興味深いことに仮想ディスクをマウントする。実行の際、ヴイエムウェアの設定ファイルをチェックして、ホストシステム上にインストールされている仮想マシンの場所を確認する。
この亜種が最初にどのような経路で感染するかは現在詳しく調べているが、不正なJavaアプレットのダウンロードが発端になっていると見られる。不正Javaアプレットは「mac」ファイル(「OSX_MORCUT.A」として検出されるバックドア)と「win」ファイル(「WORM_MORCUT.A」として検出されるワーム)の2つのファイルでパッケージされている。winファイルはWindows上で実行され、以下のコンポーネントファイルを投下する。
・IZsROY7X.-MP (32ビットDLL)WORM_MORCUT.Aとして検出
・t2HBeaM5.OUk (64ビットDLL)WORM_MORCUT.Aとして検出
・eiYNz1gd.Cfp
・WeP1xpBU.wA (32ビットのデバイスドライバー)TROJ_MORCUT.Aとして検出
・6EaqyFfo.zIK (64ビットのデバイスドライバー)TROJ_MORCUT.Aとして検出
・lUnsA3Ci.Bz7 (32ビットDLL)無害のファイル
トレンドマイクロの初期分析によると、WORM_MORCUT.AはUSBデバイスやヴイエムウェアの仮想ディスクを通じて拡散する機能を備えており、デバイスドライバーのコンポーネントである「TROJ_MORCUT.A」を使って仮想ディスクをマウントする。これらの機能から急激に感染するように思えるが、トレンドマイクロはこのブログ執筆時点で、WORM_MORCUT.AとTROJ_MORCUT.Aのいずれも広範な感染は確認していない。
トレンドマイクロはWORM_MORCUT.AとTROJ_MORCUT.Aの分析に取り組んでおり、今後も情報を更新するとしている。なお、WORM_MORCUT.Aが投下するコンポーネントファイルは8月24日以降、「RTKT_MORCUT.A」として検出されている。
