Endpoint Protection

図 1. W32.Morto.B によるファイルの感染プロセス

 

ファイルに感染する前に、W32.Morto.B は感染マーカーの有無を確認します。これは、同じファイルに何度も感染を試みないようにするための工夫で、ファイル感染型の脅威でよく行われるチェックです。このとき検索されるマーカーは、次の図 2 のように MZ ヘッダーに格納されています。

 

図 2. W32.Morto.B のファイル感染マーカー

 

このマーカーが存在しない場合には、ファイルの最後のセクションにワーム本体を挿入し、ファイルの実行時にこのセクションが実行されるようにセクションの属性を更新します。最後に、元のエントリポイントが、新しく挿入されたワームのコードを示すポイントに更新されます。

感染したファイルが実行されると、元のコードパスを実行するかわりに、挿入されたワームのコードが先に実行されます。ワームのエントリポイントには小さな復号ルーチンが含まれ、そのルーチンによってワーム本体が復号されて実行されます。完了すると、ワームはファイルの本来のエントリポイントに実行を返し、元のアプリケーションは通常どおりの実行を続けます。

 

図 3. ワームのエントリポイントからの実行フローを示すコードの抜粋

 

シマンテックは現在、この脅威に他の機能があるかどうかを調査中であり、詳しいことがわかり次第このブログを更新する予定です。Morto ワームの最新の進化形に対抗するために、ウイルス対策は最新の状態に保つようにしてください。

 

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。