Video Screencast Help

複雑なサイバースパイマルウェア W32.Gauss を発見

Created: 10 Aug 2012 06:43:24 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

カスペルスキーが Gauss と呼ばれる複雑なスパイマルウェアを発見しました。Gauss は感染したコンピュータから幅広い情報を盗み出し、それをコマンド & コントロールサーバーに送ります。

シマンテックでは現在この最新の脅威を W32.Gauss として検出しており、先行レポートによると、W32.Gauss が最も集中的に発生している地域は中東と見られています。

Gauss の設計と機能は、次の点で W32.Flamer と似ています。

  • モジュール構造
  • コードベースが類似
  • コマンド & コントロールサーバーとの通信システムが類似

Gauss はすでに何カ月も活動を続けていて、多数のモジュールから構成されています。それぞれのモジュールには、次のような特定のタスクが割り当てられています。

  • 特定のシステム情報を収集する
  • ブラウザプラグインなど、さまざまなモジュールをインストールする
  • ネットバンキング、電子メール、インスタントメッセージ、ソーシャルネットワークのアカウントの認証情報を盗む
  • コマンド & コントロールサーバーと通信する
  • USB ドライブを介して感染を広げ、他のコンピュータから情報を盗む

このマルウェアの気になる特徴は、金融機関との通信を傍受している可能性があるのではないかという点です。金融機関は普通、こうした複雑なサイバースパイマルウェアの標的とはなりません。

感染経路は現在のところ不明ですが、モジュールの 1 つが Palida Narrow というフォントをインストールすることが知られています。さらに、USB デバイスに送られるペイロードバイナリの一部のセクションが RC4 で暗号化され、その際に使われる鍵が、標的となる特定のコンピュータを対象として生成されたものであることも判明しています。これらのペイロードの基本データはまだ復号されていません。

シマンテックセキュリティレスポンスでは、この活動を積極的に調査し、活動の進展を監視しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。