シマンテックは、Mac、Windows、仮想マシン、Windows Mobileと異なる4つの環境に拡散する機能を持ったマルウェアの情報を同社ブログで公開している。
このマルウェアは、ソーシャルエンジニアリングの手法を利用して、JARファイルを介してコンピュータに侵入を試みるとされている。このJARファイルには、Mac用とWindows用の2つの実行可能ファイルが含まれ、侵入先のコンピュータ環境から該当する実行可能を投下しバックドアを作成する。
ブログによると、Windows版のW32.Crisisには2つの特殊な機能があるという。ひとつは侵入先のコンピュータ上でVMware仮想マシンのイメージを検索してマウントし、VMware Playerツールを使ってイメージ上に自身をコピーし、拡散する点。もうひとつは、侵入先のWindowsコンピュータに接続されたWindows Mobileデバイスにモジュールを投下して、Windows Mobileデバイスに拡散する機能を持つ点となっている。
|
脅威の拡散イメージ(同社ブログより) |
仮想マシンについては、VMwareソフトウェア自体の脆弱性が利用されているわけではなく、仮想マシンもホストマシンのディスク上に存在するファイルであるという"仮想化ソフトウェアに共通する属性"が狙われており、これは仮想マシンが稼働していない状態であっても変わらないとしている。
同社では、「仮想マシン上で拡散を試みるマルウェアは、これが初めてであると考えられる」としている。同社製品では、このJARファイルをMac版の脅威を「OSX.Crisis」として、Windows 版の脅威を「W32.Crisis」として検出可能となっており、あわせてウイルス定義の更新を勧めている。
