架空メモリを作成し検出を避けるトロイの木馬、初めて確認される
http://www.rbbtoday.com/article/2011/05/06/76692.html
ほほう。面白いなぁ。どんどん巧妙になっていく。
このような、「セキュリティソフトに架空のメモリを読み込ませ、検出を避ける」という技法は以前から論じられていたが、実際の脅威で確認されたのは初めてとのこと。このルートキットは、特定個所のメモリが読み取られると、フックされていない「偽の」イメージを、マルウェアのKiDebugRoutine フックによって提示。さまざまな分岐を経て、正しいメモリあるいは架空のメモリを読み込ませることを可能とする。
なお、このマルウェアの後にも、マスターブートレコードに感染する最新のマルウェアも確認されており、これらは、ハードディスクのデバイススタックに偽のデバイスオブジェクトを作成するものとのこと。