Kaspersky Lab は、MBR 感染型ルートキットの新しい亜種の検知と駆除の機能を製品に実装したことを発表いたします。
Kaspersky Lab は、MBR 感染型ルートキットの新しい亜種の検知と駆除の機能を製品に実装したことを発表いたします。
マルウェア「Sinowal」の新しい亜種は、ハードディスクドライブ上の MBR (マスターブートレコード) に感染することでシステム内に自身の存在を隠す機能を持っており、当社の専門家によって 2009 年3 月末に検知されました。
このルートキットのその他亜種については、昨年 1 年間にわたって詳細な報告を行ってきました。例としては、2008 年第1 四半期報告 (http://www.viruslist.com/en/analysis?pubid=204792002) およびレポート「Bootkit: the challenge of 2008」(http://www.viruslist.com/en/analysis?pubid=204792044) があります (いずれも英語版での公開)。しかし、新しい亜種であるBackdoor.Win32.Sinowal はこれまでと異なり、検知を避けるためにシステムのより深部に侵入します。この亜種で使われている隠蔽方法は、OS の最深部でデバイスオブジェクトをフックするというものですが、このように高度な技術が使用されるのは前例がありません。そのため、Sinowal の新しい亜種が出現したとき、既存のアンチウイルス製品はいずれも、Backdoor.Win32.Sinowal の駆除は言うまでもなく検知すらできませんでした。このブートキットは、システムに侵入すると、ユーザの個人情報や各種アカウント情報の窃盗を目的としたペイロードの活動を隠蔽します。
当社の専門家によると、このブートキットは過去 1 カ月間にわたり、Neosploit の脆弱性を利用する数々の悪意ある Web サイトを経由して拡散していました。特筆すべきは、Adobe Acrobat Reader の脆弱性を利用して、悪意あるコードを含む PDF ファイルをユーザが気付かないうちにダウンロードすることでシステムに侵入するケースです。
現在もなおインターネット中で拡散しているこのブートキットの検知および駆除は、アンチウイルス業界の専門家がここ数年間で直面した問題のうち、最も難しい課題です。Kaspersky Lab は、主なアンチウイルスベンダーのなかでは他社に先がけて、Sinowal 新種の検知と有効な駆除の機能を個人向けアンチウイルスソリューションに実装いたしました。
コンピュータがブートキットに感染しているかどうかを調べるには、定義データベースを更新したうえで、完全スキャンを実行する必要があります。ブートキットが検知された場合は、駆除プロセス中にコンピュータを再起動する必要があります。
さらに、Acrobat Reader の脆弱性に対するパッチ (http://www.adobe.com/jp/support/security/bulletins/apsb09-04.html) およびブラウザに対するパッチの適用をお勧めします。
