Kaspersky Lab のエキスパートはひきつづきマルウェア Duqu の調査を進めています。その結果、Duqu 自身の複雑な挙動と、Duqu の作者が用いたメソッドおよび戦略、さらに、(実際には笑いごとではないのですが)ある種のユーモアが、明らかになりました。
本リリースは、2011 年 11 月 11 日にロシア モスクワにて発表されたニュースリリースの抄訳です。
Kaspersky Lab のエキスパートはひきつづきマルウェア Duqu の調査を進めています。その結果、Duqu 自身の複雑な挙動と、Duqu の作者が用いたメソッドおよび戦略、さらに、(実際には笑いごとではないのですが)ある種のユーモアが、明らかになりました。
トロイの木馬型感染メソッドは標的にあわせて念入りにカスタマイズされ、ソーシャルエンジニアリングのテクニックを駆使した E メールが用いられました。この E メールには脆弱性が存在する doc ファイルとトロイの木馬のインストーラーが添付され、遅効型のエクスプロイトドロッパーとして動作します。2011 年 4 月という昔に標的に送られた E メールも見つかっています。
doc ファイル内のエクスプロイトは Dexter Regular という埋め込みフォントの中に存在していました。Duqu の作者は Dexter が Showtime Inc. の登録商標だと見せかけていますが、実際は Showtime Inc. は TV ドラマシリーズ「Dexter(デクスター)」の放送局です。このドラマは、連続殺人犯としての裏の顔を持つ科学捜査官が主人公です。
また、Duqu マルウェアひとつひとつが独自性を持ち、攻撃前には個々の標的のために念入りな細工を施されていた、ということも明らかになっています。さらに、攻撃に使用するコントロールサーバーも、それぞれ異なるサーバーが使用されていました。
Kaspersky Lab の今回の調査では、Duqu のファイルには少なくとも 12 のユニークなセットが確認されています。解析調査は引き続き実行中のためここですべてをお見せすることはできませんが、じきに続報をお届けできるでしょう。
Kaspersky Lab のチーフセキュリティエキスパート、アレキサンダー・ゴスチェフ(Alexander Gostev)によるレポート全文(英語)は、securelist.com 内のこちらのページでご覧いただけます。
【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Lab は、ウイルス・スパイウェア・クライムウェア・不正侵入・フィッシング詐欺・スパムといった IT 上の脅威に対抗する世界で最も迅速かつ高品質な保護を提供する、ヨーロッパ最大のアンチウイルスベンダーです。エンドポイント向けソリューションにおいては、全世界でもトップ4のシェアを持っています。個人/SOHO向けにとどまらず、中小企業向け、大企業向け、モバイル端末向けなど多様な分野の各種製品で、業界最高の検知率と最短の対応時間を実現しています。また、Kaspersky の技術は業界を代表する IT セキュリティ製品やソリューションに、広く世界中で採用されています。詳細については
http://www.kaspersky.co.jp/
をご覧ください。また、アンチウイルス、アンチスパイウェア、アンチスパムなどIT セキュリティに関する最新情報を
http://www.viruslistjp.com/
にて提供しています。
