Mac を標的とする新しいマルウェア OSX.Crisis については、先月このブログでもお伝えしました。その後、カスペルスキーも、このマルウェアがソーシャルエンジニアリングの手法を利用して JAR ファイルを介してコンピュータに侵入することを報告しています。
問題の JAR ファイルには Mac 版と Windows 版の 2 つの実行可能ファイルが含まれており、侵入先のコンピュータの OS を調べたうえで、該当するほうの実行可能ファイルを投下します。どちらの実行可能ファイルも侵入先のコンピュータでバックドアを開きますが、Windows 版には 2 つの特殊な機能があることが判明しました。この脅威をシマンテックは W32.Crisis として検出します。
脅威の拡散には、3 つの方法が使われています。第 1 に自身と autorun.inf ファイルをリムーバブルドライブにコピーする方法、次に VMware の仮想マシンに侵入する方法、そして最後が Windows Mobile デバイスにモジュールを投下する方法です。
図 1. 脅威の拡散方法
W32.Crisis は侵入先のコンピュータ上で VMware 仮想マシンのイメージを検索します。見つかった場合にはイメージをマウントし、VMware Player ツールを使ってイメージ上に自身をコピーします。
図 2. VMware への拡散
VMware ソフトウェア自体の脆弱性が利用されているわけではありません。狙われたのは、あらゆる仮想化ソフトウェアに共通する属性、つまり仮想マシンもホストマシンのディスク上に存在する 1 つのファイル、または一連のファイルにすぎないということです。これらのファイルは一般的に、直接操作したりマウントしたりすることが可能です。上記の例のように、仮想マシンが稼働していない状態であっても、それは変わりません。
仮想マシン上への拡散を試みるマルウェアは、おそらく W32.Crisis が初めてでしょう。多くの脅威は、VMware のような仮想マシンを監視するアプリケーションを見つけると、解析されることを避けるために活動を停止するからです。そう考えると、W32.Crisis の登場はマルウェア作成者が踏み出した新たな一歩と言えるかもしれません。
また、W32.Crisis には、侵入先の Windows コンピュータに接続された Windows Mobile デバイスにモジュールを投下して、Windows Mobile デバイスに拡散する機能も備わっています。
図 3. Windows Mobile デバイスに拡散する機能
Remote API(RAPI)が使われているため、影響を受けるのは Windows Mobile モバイルだけであり、Android や iPhone デバイスは影響を受けません。シマンテックは現在まだこのモジュールのコピーを入手していませんが、サンプルを確保できしだい、さらに詳しく解析を行う予定です。
最終的に、この Crisis マルウェアは、Mac、Windows、仮想マシン、Windows Mobile と 4 種類の別々の環境に拡散する機能を持っていることになります。機能面だけでなく、拡散方法という点でも新たな脅威と言えます。
シマンテックは、この JAR ファイルを Trojan.Maljava として、Mac 版の脅威を OSX.Crisis として、Windows 版の脅威を W32.Crisis としてそれぞれ検出します。ノートン製品をお使いのお客様には、今すぐウイルス定義を更新いただくことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。