「メモ帳」を改ざんし、リムーバブルメディア経由で感染するウイルス

Windowsの自動実行ファイル「autorun.inf」を感染手段として使用するマルウェアが、ここ数年増加しており、被害を拡大させています。この手口は、以前から自動実行ワームが悪用していました。しかし、現在では実行ファイルをクリックしないと感染できなかったはずの単純なバックドアやボット、パスワード不正取得プログラム、さらには寄生型ウイルスまで使用されるようになりました。自動実行機能はユーザーのクリック回数を減らせるため、便利な機能です。その一方で、人手を介して伝染する1980年代のマルウェア感染モデルを復活させてしまった、と言えるでしょう。

この感染手法を取り入れた寄生型ウイルスの主要なものとして、「W32/Sality」と「W32/Virut」の2種類があげられます。両ウイルスには、様々な亜種が存在しています。W32/Salityの感染は、リムーバブルメディア経由で広がります。ユーザーがW32/Salityに感染済みのパソコンにリムーバブルメディアを接続すると、パソコン内の「メモ帳(notepad.exe)」か「マインスイーパ(winmine.exe)」にW32/Salityが入り込み、これらファイルがリムーバブルメディアへコピーされます。W32/Sality入りnotepad.exeとwinmine.exeは、ランダムな文字列と「.pif」または「.scr」という拡張子を組み合わせた新たなファイル名に変更されます。さらに、難読化したautorun.infもペアで作成されます。以下にW32/Salityの一部コードとペアのautorun.infを掲載します。

W32/Salityのコード

ペアで作成されたautorun.inf

リムーバブルメディアからウイルスを除去しても、新たなファイル名を与えられた実行ファイルは残ります。そのままの状態では実害はありませんが、ユーザーは元々どのようなファイルであったか混乱するでしょう。また拡張子は、MS-DOSアプリケーション用の.pifやスクリーンセーバー用の.scrを使用されています。 W32/Virutも、リムーバブルメディアに感染済みのメモ帳をコピーします。W32/Salityと同じく、ファイルはウイルス除去後もしつこく残ってしまいます。このように、マルウェアは自動実行機能を悪用することにより、除去されても効果的な感染能力を維持することが可能になります。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速