Endpoint Protection - Symantec Enterprise
しばらく前に、シマンテックは W32.Xpaj.B ウイルスの新しい亜種を確認し、その新機能に関する初期段階の詳細と、感染第 1 号の爆発的感染の状況について以前のブログで報告しました。その後さらに解析を進めましたが、結論として爆発的な感染はなく、少なくとも当面の間は W32.Xpaj.B の再来もないと考えるに至っています。 解析から明らかになったのは、以下の点です。 第 1 号に感染したサンプルは、他のサンプルに感染する機能を持っていない。 64 ビットカーネルモードのペイロードは、標的とするプロセスに DLL(ダイナミックリンクライブラリ)をインジェクトするが、その DLL は空である。 感染したサンプルは第 1 号からウイルス本体のコピーを引き継いでおらず、それよりはるかに小さいウイルスによって感染している。 こうしたすべての事実から、この感染第 1 号は単なるテストサンプルであっ
第12回 SMMを悪用したキーロガー
フォティーンフォティ技術研究所 先端技術研究部 リサーチ・エンジニア 舟久保 貴彦 前回紹介した通り,SMM(システム管理モード)はOSやVMM(バーチャル・マシン・モニター)にその存在を気付かせることなく動作し,ロックを掛けることによりSMMの処理プログラムを完全に隠ぺいできる特徴がある。密かに盗聴などの活動をするルートキットには都合が良い動作環境と言える。今回は,SMMルートキットの論文で話題に上ることが多いSMMキーロガーの動作原理について解説する。 SMMで動作するプログラム(例外なくSMMキーロガーも含む)は,リアル・モードに似た16ビット・モードで動作するが,Memory Extension Addressingと呼ばれる技術を使って4Gバイトの物理メモリー領域にフルアクセスできる。メモリー上に存在するOSのデータからユーザー・アプリケーションのデータまで,あらゆるメモリー・デ
An unlikely couple: 64-bit rootkit and rogue AV for MacOS
The Virus Lab recently came across a very interesting sample – a downloader containing two drivers and which downloads fake antivirus programs developed for both PC and Mac platforms. The malicious program is downloaded and installed using the BlackHole Exploit Kit. The latter contains exploits targeting vulnerabilities in JRE (CVE-2010-0886, CVE-2010-4452, CVE-2010-3552) and PDF. Both drivers are
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
NorseCorp - NorseCorp.com
