過去数カ月の間に、OSX.Crisis と W32.Crisis についてこのブログでも何回かご報告しました。Crisis マルウェアは、複数の感染経路を持ち、情報を盗み出す多様な機能を備えた、きわめて高度なマルウェアです。
図 1. Crisis の感染の手口
Windows と Mac の各オペレーティングシステムに加え、Windows Mobile デバイスも標的になります。標的となるコンピュータに特定の VMware 仮想マシンのイメージがインストールされている場合には仮想マシンにも侵入することができるため、ホストからゲストへの仮想マシン感染機能を持った最初のマルウェアと考えられています。
セキュリティ製品ベンダーや研究者の間では、イタリアのあるグループが法執行機関向けに販売する製品として Crisis を開発したという意見もあります。実際、音声の録音やアドレス帳情報の盗取など Crisis マルウェアの一部の機能は、極秘調査やスパイ活動に適しています。
図 2. Crisis の情報盗取機能
Crisis の詳細については、私が執筆したホワイトペーパー『Crisis: The Advanced Malware』(英語)をご覧ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。