メモリ上で完全実行,ディスクにファイルを残さない新種のウイルス
関連記事
- 【#サイバー攻撃】充電式バイブレータからマルウェア検出、USB充電デバイスに注意 【2024年02月26日(月)】
- 【#ウクライナ戦争】ロシア:カスペルスキーを「国家安全保障上の受け入れがたい脅威」に連邦通信委員会が認定 【2022年03月30日(水)】
- 身代金型ウイルスに感染-ブルーチップ 【2018年12月17日(月)】
- 【#詐欺】津波警報装う偽メール、気象庁を名乗り 【2018年11月09日(金)】
- 【#Excel】CSVファイルで感染 ウイルス対策の常識覆される 【2018年06月29日(金)】
いや,メモリストリームに最近凝っているオイラ(汗
このカラクリ,応用すれば,ネットから直接,実行体を主記憶に送り込めるなぁ
とは,考えっておったけど
それをやる奴が,出てきましたかぁ...
セキュリティパッチを当ててないと,こりゃ,一発でやられるなぁ
っつうか,iPhoneでもAndroidでも,やれるぞ,この手
その内,スマフォで大規模蔓延しそうな悪寒...
PC,再起動すれば綺麗サッパリ消えてなくなるけど
うちのWindows7,スリープ運用
スリープだと,もし感染したら,メモリ上に残ったまんまじゃなぁ...
まぁ,2,3日に一度再起動している感じじゃし,大丈夫かな?
その前に,その手の怪しいサイトに寄りつかないことですなぁ(爆
| メモリ上で実行する新種の“ファイルレス”マルウェアが出現
一昔前のワーム攻撃に類似、トロイの木馬を送り込む先導的役目を果たす 非常にまれな、新しいタイプのマルウェアが発見された。被害者のPCのメモリ上ですべてが実行され、ハードディスクにファイルを作成しない「ファイルレス」なマルウェアで、おそらくこれまで類を見なかったタイプだという。 ロシアのセキュリティ・ベンダーKaspersky Labは3月21日、ロシアのWebサイト上で、既知のJava脆弱性「CVE-2011-3544」を突く攻撃があったという報告を受けた。だが、“トロイの木馬”型攻撃を仕掛けるために通常はハードディスクに保存されるファイルが存在しなかったという。 実はこの攻撃は、感染したWebサイトに埋め込まれたiFrameからJavaScriptを実行させて、暗号化された「.dll」形式のペイロードを直接、Javaw.exeの処理に送り込むという形を取っている。 この珍しいマルウェアには2段階の目的がある。まず最初に、Windowsのセキュリティ機構「User Account Control」(UAC)を無効化すること。次に、ボットが攻撃指令を配信するコントロール・サーバと通信できるように設定を先導することである。例えば、PCからデータを盗み取るトロイの木馬「Lurk」をひそかにインストールすることもその1つだ。 ファイルをハードディスク上に作成しないという攻撃手法は、ユーザーがPCを再起動すればメモリからマルウェアを除去できるため、攻撃を続けるには再度感染させなければならないという不利な面がある。一方でこの欠点と引き換えに、非常に見つかりにくいという利点もある。ターゲットのPCにはファイルが書き込まれず、少なくとも初期段階ではファイルの変更も生じないからだ。脆弱性に対するパッチ修正が行われていなければ、セキュリティ・プログラムがこのマルウェアを検出することは難しい。 さらにJavaを利用しているため、WindowsのみならずMacやLinuxなど、マルチ・プラットフォームで動作する可能性がある。ただし、今回報告されたケースはWindowsのみだったという。 Kasperskyは新種のマルウェアについて、10年ほど前に大流行した悪名高い「Code Red」や「Slammer」といったワーム攻撃を思い起こさせるものだと警告する。これらのワームはMicrosoftの特定のプログラムのみを標的にしてバッファ・オーバーフローを引き起こすため、やはりファイルを必要としなかった。 しかし旧型のワーム攻撃は、単に出来るだけ早く広範囲に感染を広げるように設計されていたのに対し、新種のマルウェアは初期段階ではセキュリティ・システムを避けるため目立たないよう“株”を植え付けておき、後々の攻撃に備えるというものだ。この点で新しく、類のない攻撃方法だと言える。 Kasperskyの研究者、セルゲイ・ゴロバノフ(Sergey Golovanov)氏は「攻撃指令を出すコマンド・サーバとコミュニケーションを取るためにLurkが利用するプロトコルをわれわれが解析したところ、これらのサーバは数カ月間にわたり最大で30万台の感染PCからの指示を処理していたことがわかった」と語った。 |
| computerworld |
コメント
【地震】日向灘でM4.4の地震
【#第三次世界大戦】ウクライナ空軍 “ICBM1発がロシア南部から発射された”
司法省 “グーグルはクローム売却を” 裁判所に要求へ 米報道
最近,仕事がずっと激しい...ドロドロドロ
今日は謎の宴会らしい...スーツが入るのかっ!?(GRB爆
「侍ジャパン」宮崎県入り 「プレミア12」向け きょうから合宿
【#総選挙】 衆議院選挙 きょう投票 ...ドロドロドロ(24/10/27)
【#線状降水帯】宮崎 延岡「土砂崩れで家がつぶれている」通報 1人不明(24/10/23)
【冬】お~日本海に筋雲が出ちょる!冬がキター
【#寒冷前線】13時頃30℃の気温が今は25℃無いぞー