ITmedia エンタープライズ:初のフルカーネルマルウェア? スパム送信もカーネルモードで実行
トロイの木馬「Srizbi」は、MPACK攻撃で乗っ取られたサイトを閲覧すると感染するマルウェアの1つ。いったんインストールされると、ユーザーモードを一切使わずに、スパム送信も含めてすべての動作をカーネルモードから実行できる機能を持つという。
Srizbiのドライバ(windbg48.sys)には、Rootkitを使って身を隠す機能とスパム送信の2つの機能があるが、Rootkitコードの方は新しいものではないという。特徴的なのはスパム送信コードの方で、カーネルモードから直接ネットワーク接続を操作するという複雑な機能を実装。ファイアウォールに妨げられることなく、ネットワークを使った行動をすべて隠すことができるという。
こんなものが出回りはじめやがりましたか。こうなると、メールの送受信は全てWebメールを使うことにして、自宅ルーターでOP25Bを掛けるしかないのかな?