つい最近新しいマルウェア実行仕組みが発見されました。実はautorun.inf経由のマルウェア感染仕組みですけれど、今回のマルウェアファイルが最短3つのファイルが実用しインターネットからばらばらが来るので、下記 説明します。
先ずはユーザパソコンに別の問題ででマルウェアファイル「.lnk」、マルウェア「autorun.inf」とマルウェアバイナリーファイルが入ってしまった状況です。この3つのファイルが本件の感染仕組みの条件です。
もしこのセットを揃いましたら、それでPCユーザがマルウェア「.lnk」ファイルをクリックしたら「autorun.inf」を実行してしまってマルウェアプログラムが動きがはじめます。
問題なのは、PCユーザーは「.lnk」のファイルを見たら…これはウイルスかどうかと判断が出来なくてウイルススキャン製品に任せると、これで疑問が出ます。詰りvirustotalでスキャンしたら下記の結果となります↓
この結果を見たらTrendMicro、Kaspersky、ClamAV、FProtとFortinetは「マルウェアではありません」という確認が出ます。この疑問がある原因で、インターネット犯人がこの感染仕組みを作ったかと思われます。
海外にも本件の情報を結構話題になりましたので、リファレンスは下記となります↓
http://isc.sans.edu/diary.html?storyid=9229
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2568
http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://www.virustotal.com/analisis/5fee50647a3325a23b…
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2568
http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://www.virustotal.com/analisis/5fee50647a3325a23b…
---
http://0day.jp
マルウェアリサーチチーム
0 件のコメント:
コメントを投稿