W32.Disttrack は、エネルギー業界の少なくとも 1 つの特定の組織を標的とする攻撃に使われている新しいマルウェアです。この破壊的なマルウェアは、コンピュータを使用不能にする目的で、侵入先のコンピュータ上のファイルを破壊し、MBR(マスターブートレコード)を上書きします。
W32.Disttrack は、以下のような複数のコンポーネントから構成されています。
Dropper コンポーネントは、以下のアクションを実行します。
Wiper コンポーネントには以下の機能が含まれています。
図 1. ファイルの上書きに使用される画像
このマルウェアの Wiper コンポーネントには、デバッグシンボルの場所を示す次の文字列が残されていました。これを見ると、このコンポーネントが開発者のコンピュータ上のどこに保存されていたのかがわかります。 C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb
Reporter コンポーネントは、感染情報を攻撃者に返送する役割を担っています。情報は HTTP GET 要求として送信され、次のような構造になっています。 http://[DOMAIN]/ajax_modal/modal/data.asp?mydata=[MYDATA]&uid=[UID]&state=[STATE]
次のデータが、攻撃者に送信されます。
このような破壊的なペイロードを持つマルウェアは珍しく、標的型攻撃ではまれな存在です。シマンテックセキュリティレスポンスでは引き続きこのマルウェアを分析し、詳細がわかり次第お知らせいたします。シマンテック製品をお使いのお客様は、このマルウェアから保護されています。シマンテックのセキュリティ製品は、このマルウェアを W32.Disttrack として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。