Threatpost - The First Stop For Security News

9月22日(米国時間)、Threatpostに掲載された記事「Malware Evades Detection with Novel Technique |Threatpost|The first stop for security news」が、セキュリティベンダーやセキュリティ研究者らがマルウェアを見つけるために使っている環境であるかどうかを調べて、そうした環境であることがわかった場合は発動しないタイプのマルウェアが発見されたと伝えた。マルウェアの新たな戦略として興味深い。

マルウェアやウイルスの動作検証は仮想環境が使われることが多い。インストール後のまっさらな状態のWindowsでマルウェアやウイルスと疑われるソフトウェアを動作させ、そのソフトウェアが悪い動作をするかどうかをチェックする。今回発見されたドキュメントマクロベースのマルウェアは、こうした環境で動作しているかどうかを判定し、検証環境にいると判断した場合はマルウェアとしての動作を発動させないとしている。

判定方法は簡単で、対象となるシステムに2つ以上のMicrosoft Wordドキュメントが存在した場合、その環境を検証用の環境ではなくユーザーの環境であると判断。以降はマルウェアとしての動作を開始する。簡単な戦略だが検証を避ける方法として興味深い。今後、類似した機能を持つマルウェアが増加する可能性がある。