シマンテックは最近、とても馴染みのあるファイルを受け取りました。簡単な調査で、これは W32.Duqu の新しい亜種であることが判明しました。実際には、シマンテックが確認したファイルは Duqu の 1 コンポーネントにすぎず、コンピュータの再起動時に残りのコンポーネントをロードするために使われるローダーファイルでした(脅威の残りの部分は暗号化してディスク上で保存されます)。今回確認されたコンポーネントは、シマンテックの Duqu に関するホワイトペーパー(英語版)から引用した下の図で、点線で囲んだ部分です(.sys ドライバファイル)。
そのほか、古いドライバファイルの署名には盗み出された証明書が使われていましたが、今回はそうではないという違いもあります。バージョン情報も、以前確認されていたバージョンと比べて新しくなっています。今回のバージョンでは、Duqu ファイルは Microsoft のクラスドライバに偽装しています。
以前のバージョンでは、他の大手メーカー製品のバージョン情報に偽装していました。
2012 年に入ってからは、今回見つかったのが最初の Duqu です。これまでには、以下の日付でそれぞれ独自のバージョンの Duqu がリリースされていました。
2010-11-03 2010-11-03 2011-10-17
古いバージョンが引き続き使われている証拠も見つかっています。
Duqu による感染についてすべての情報が手に入ったわけではありませんが、今回の新しいファイルの出現で、攻撃者が以前活動中であることは明らかになりました。他のコンポーネントが揃っていないため、2011 年 11 月のグループのリリースで確認されたコードに、新しい開発が追加されたのかどうか現時点では断定できません。
詳しいことがわかりしだい、この記事は更新する予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。