マカフィーは11月9日、Gate.Wormファイル感染ウイルスの最新バージョンに関する情報をセキュリティブログで公開した。
Gate.Wormに感染した場合、正規コードに制御を戻せなくなる仕様で、特定のアプリケーションが起動しなくなり、マルウェアコードのみが実行される。
このバージョンは2013年の「Obfuscated-FBU!hb」による寄生型ウイルスの変種と類似しているが、作者は別の人物。新しいコードは以前のコードに似ているが、機能がかなり減らされているという。マルウェアの目的は、SecurityGate.ruグループがテストサンプルとして作成したものと推測している。
セキュリティブログによると、マルウェアがコンピューターに侵入して感染させるまでの挙動は以下の通り。
まず、IsDebuggerPresent Windows APIを呼び出して、プロセスがデバッグ中かどうかを確認する。マルウェアの作者はこの機能を使用して、デバッグによって"悪質なバイナリ"の分析を防止する。チェックの結果がtrueの場合、マルウェアは実行を終了する。
|
次にマルウェアはコンソールウィンドウを開き、「SAFEMODE: This WORM is designed only to test…with respect SafetyGate.ru.」 というメッセージを表示する。
|
GetCurrentDirectoryAを使用して現在のディレクトリを取得し、そこに含まれるすべてのファイルを列挙する。そのために、マルウェアはFindFirstFileA and FindNextFileAを使用してファイル名配列を作成する。
現在のフォルダ内の全ファイルを配列に追加したら、マルウェアはマルウェアファイルのファイルサイズを計算し、マルウェアサンプル全体をクリーンファイルの冒頭に挿入してコンピューターに感染する。
感染後は、MZ構造がマルウェア本体に置き換えられ、元のファイルは単なるオーバーレイデータとして存在するようになるため、感染したクリーンファイルを実行できなくなる。
|
感染ルーチンの一部 |
さらに、感染ファイルに以下のような形式のシグネチャを追加する。
|
新しいシグネチャの例 |
|
古いシグネチャの例 |
感染ルーチンは現在のフォルダ内のすべてのサンプルに対して繰り返し実行され、プロセスが終わると、マルウェアはSleep APIを呼び出して10秒間実行を停止する。その後、コンソールウィンドウを閉じてマルウェアプロセスを終了する。最後は、感染したすべてのサンプルに以下のようなアイコンが表示される。
|
オーバーレイに複数のオリジナルサンプルが含まれた感染サンプルも存在する。感染ファイルはすでに感染していたファイルが含まれることがあるため、このような状況が発生する。
新しいクリーンファイルがこのサンプルに感染すると、新たに感染したファイルには過去に感染していたファイル(複数の場合もある)とマルウェアコード、新しいシグネチャが含まれる。
|
感染チェーン |
ポータブルな実行可能ファイルだけではなく、あらゆる種類のファイルがこのマルウェアに感染する。このようにして、ホストコンピュータの現在のフォルダ内の大半のファイルがウイルスに感染してしまう。
通常、ユーザーはファイルをダウンロードフォルダ、ドキュメントフォルダ、デスクトップフォルダにダウンロードするが、フォルダによって影響度が違う。
マルウェアにはネットワーク機能がなく、外付けドライブを感染させることはできない。被害者が直接ダウンロードして実行するか、感染したサンプルを外付けドライブに手動でコピーし、別なシステムで実行する以外、このマルウェアをまん延させることはできないという。
