最近BlackEnergyファミリーのサンプルがウクライナからVirusTotalへアップロードされた。述べられているところでは、このファミリーは2008年のグルジアに対するサイバー攻撃で用いられたものと同一のマルウェアだ。攻撃者は、このマルウェアにより感染したホストへのアクセス権限をすべて手に入れる。当該ファミリーに関するさらに詳細な情報については、SecureWorksによる2010年来の詳細な分析を確認してほしい。

 この新たなサンプルは、もうファイルやレジストリを隠ぺいしない点において、もはやルートキットという感じではない。埋め込まれているXMLによれば、現在のビルドは「0D0B15aaa」である。

Embedded XML

 使用するわけではないが、このサンプルはまだプロセスを隠ぺいするルーチンを持っている。今回はDKOMを用いている。このため(さらにsvchost.exeが警告可能な状態かを確認するため)、当該マルウェアは、Windowsのさまざまなバージョンで使用されるカーネル構造内にハードコーディングされたオフセット一覧を持つ。興味深いのは、今回のサンプルはWindows 8を念頭に設計された点だ。

Offsets in Windows 8 kernel structures

 サンプルには署名されていないので、動作させるには、最近のWindowsにおける、ドライバへの署名の実施を無効にする必要がある。