「TrendLabs(トレンドラボ)」では、VMware の仮想マシン上で拡散すると言われている不正プログラム「Crisis/MORCUT」に関する報告を受けました。この不正プログラムについてを取り上げた前回の記事では、この不正プログラムがMac OS X を狙うバックドア型不正プログラムであると言及しています。しかし今回、トレンドラボが入手した「MORCUT」の検体は、Windows上で実行され、興味深いことに、仮想ディスクをマウントします。その動作を行うにあたっては、VMwareの設定ファイルを確認してホストシステム上にインストールされている仮想マシンの場所を確認します。
現時点で、今回確認された「MORCUT」の侵入経路はまだ特定されていませんが、不正なJavaアプレット(「JAVA_AGENT.NTW」として検出)のダウンロードが発端となり感染拡大につながっていると推測されます。この不正なJavaアプレットは、2つのファイルでパッケージされており、1つは “mac” (「OSX_MORCUT.A」として検出されるバックドア型不正プログラム)、もう1つは “win”(「WORM_MORCUT.A」として検出されるワーム)というファイルです。”win” は、Windows OS上で実行されるもので、実行されると以下のコンポーネントファイルを作成します。
※1 2012年8月24日時点
トレンドラボによる初期解析では、「WORM_MORCUT.A」は、USB デバイスや VMware の仮想ディスクを介して拡散する能力を備えていることを確認しています。このワームは、デバイスドライバのコンポーネントである「TROJ_MORCUT.A」を利用して、仮想ディスクをマウントします。このような機能を有していることから急速に拡大しているはずである一方、トレンドラボでは、2012年8月24日時点、「WORM_MORCUT.A」および「TROJ_MORCUT.A」の広範囲における感染を確認していません。
トレンドマイクロの「Cloud Security blog」上で先に投稿された記事にもあるように、トレンドラボの初期解析から、「MORCUT」の亜種は、Type 2型のハイパーバイザに影響を与える可能性があることが判明しています。トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」または「ウイルスバスター コーポレートエディション」といった対策によって、お客様は「MORCUT」から安全に保護されます。
トレンドラボでは、「WORM_MORCUT.A」および「TROJ_MORCUT.A」について、引続き解析しております。随時、本ブログ上で更新情報をお知らせ致します。「ウイルスバスター コーポレートエディション」をご利用のお客様は、パターンファイルを最新のものへ更新することをお薦めします。
【更新情報】
| 2012/08/27 | 16:00 | トレンドマイクロでは、OPR 9.287.00より、「WORM_MORCUT.A」をダウンロードする不正なJavaアプレットを「JAVA_MORCUT.A」として検出対応することになりました。また、この「WORM_MORCUT.A」により作成される「TROJ_MORCUT.A」は、OPR 9.345.00より、「RTKT_MORCUT.A」に改称しました。 |
参考記事:
by Christopher Daniel So (Threat Response Engineer)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)