Pitouって何?
最近特定されたスパムボット型のマルウェアで、悪評の高いカーネルモードのスパムボットSrizbiとの類似点を数多く持つ。当社ではさらに詳細な分析を行い、これはSrizbiの復活であることを確認した。我々はこの最新のマルウェアをPitouと名付けた。徹底的な分析の後、いくつかの興味深い技術的な特徴を見つけた。これについてはホワイトペーパーに記述した。
なぜPitouと呼ぶのか?
Pitouという名前は、同業者が付けた既存の検出名から取った。混乱を避けるために、このファミリー名を使うことを決めた。このスパムボットには(Srizbiという名前を継続して使うより)新しい名前がふさわしい。我々がこのように考えたもう1つの理由は、マルウェアのコードがより堅牢な機能を持たせて完全に書き換えられているからだ。今やbootkitの実装も含む。
最初にどこで発見されたのか?
顧客のマシン上で、当社の自動分析システムに疑わしいシステムドライバファイルが報告されたのが最初のこの脅威との遭遇だ。手作業で分析した後、これは悪意があるもので、VM(Virtual Machine)のコードにより高度に難読化されて保護されたペイロードを含むことが分かった。これは、マルウェアが研究者から何かを隠そうとしていることを意味する。したがって当然ながら、当社は徹底分析をすることを決めた。
最初に見つけたのはいつか?
当社のサンプル収集システムの日付に基づくと、この脅威は2014年4月に初めて見つかった。ただしそれより前に、世の中には存在していたかもしれない。ホワイトペーパーではタイムラインで情報を提供している。
この脅威が懸念される人は?
この脅威は、企業のユーザにも家庭のユーザにも混乱や不便を引き起こし得る。当該スパムボットは感染したマシンを用いて、スパムメールを拡散する。これにより、スパムを送るIPアドレスがISP(Internet Service Provider)によってRBL(Realtime Black List)のブラックリストとして登録され得る。ブラックリストにIPアドレスが登録されると、大半の企業のメールサーバで一般に設定されている、標準のSMTP(Simple Mail Transfer Protocol)でのメール送信がブロックされる。同時に通常の家庭ユーザについては、非Webベースのメールクライアント、たとえばMicrosoft Outlookを使っていても、結局はISPによって自身のIPアドレスがブラックリストに登録される。
PitouのIOC(indicators of compromise、侵入の痕跡)にはどういうものがあるか?
他の最近のrootkitと比べて、この脅威は特に隠密的というわけではない。ドキュメントにはいくつかIOCを挙げた。これは、マシンがPitouに感染しているかを早急に特定することに関心のある人(もちろん技術的な専門家)のためだ。
Pitouのホワイトペーパーはどこで入手できるか?
以下の画像をクリックするか、当社のラボのサイトのTechnical papersセクションに行く。
Post by - Wayne
----------
追記:ホワイトペーパーを更新し、参照先を少々訂正した。また、この記事の執筆にあたって支援してくれたKarminaに、帽子を取って感謝する。
最近特定されたスパムボット型のマルウェアで、悪評の高いカーネルモードのスパムボットSrizbiとの類似点を数多く持つ。当社ではさらに詳細な分析を行い、これはSrizbiの復活であることを確認した。我々はこの最新のマルウェアをPitouと名付けた。徹底的な分析の後、いくつかの興味深い技術的な特徴を見つけた。これについてはホワイトペーパーに記述した。
なぜPitouと呼ぶのか?
Pitouという名前は、同業者が付けた既存の検出名から取った。混乱を避けるために、このファミリー名を使うことを決めた。このスパムボットには(Srizbiという名前を継続して使うより)新しい名前がふさわしい。我々がこのように考えたもう1つの理由は、マルウェアのコードがより堅牢な機能を持たせて完全に書き換えられているからだ。今やbootkitの実装も含む。
最初にどこで発見されたのか?
顧客のマシン上で、当社の自動分析システムに疑わしいシステムドライバファイルが報告されたのが最初のこの脅威との遭遇だ。手作業で分析した後、これは悪意があるもので、VM(Virtual Machine)のコードにより高度に難読化されて保護されたペイロードを含むことが分かった。これは、マルウェアが研究者から何かを隠そうとしていることを意味する。したがって当然ながら、当社は徹底分析をすることを決めた。
最初に見つけたのはいつか?
当社のサンプル収集システムの日付に基づくと、この脅威は2014年4月に初めて見つかった。ただしそれより前に、世の中には存在していたかもしれない。ホワイトペーパーではタイムラインで情報を提供している。
この脅威が懸念される人は?
この脅威は、企業のユーザにも家庭のユーザにも混乱や不便を引き起こし得る。当該スパムボットは感染したマシンを用いて、スパムメールを拡散する。これにより、スパムを送るIPアドレスがISP(Internet Service Provider)によってRBL(Realtime Black List)のブラックリストとして登録され得る。ブラックリストにIPアドレスが登録されると、大半の企業のメールサーバで一般に設定されている、標準のSMTP(Simple Mail Transfer Protocol)でのメール送信がブロックされる。同時に通常の家庭ユーザについては、非Webベースのメールクライアント、たとえばMicrosoft Outlookを使っていても、結局はISPによって自身のIPアドレスがブラックリストに登録される。
PitouのIOC(indicators of compromise、侵入の痕跡)にはどういうものがあるか?
他の最近のrootkitと比べて、この脅威は特に隠密的というわけではない。ドキュメントにはいくつかIOCを挙げた。これは、マシンがPitouに感染しているかを早急に特定することに関心のある人(もちろん技術的な専門家)のためだ。
Pitouのホワイトペーパーはどこで入手できるか?
以下の画像をクリックするか、当社のラボのサイトのTechnical papersセクションに行く。
Post by - Wayne
----------
追記:ホワイトペーパーを更新し、参照先を少々訂正した。また、この記事の執筆にあたって支援してくれたKarminaに、帽子を取って感謝する。
