未分類

JPCERT/CC、マルウェア「PlugX」に関する情報を公開

JPCERT/CCは1月22日、マルウェア「PlugX」に関する新しい情報を公開した。

「PlugX」は、標的型攻撃で多く見られる、C&Cサーバから受信した命令にしたがって動作するマルウェア。「PlugX」は、これまでも機能追加が繰り返されてきており、今回の発表では、2014年10月に確認したPlugXの検体について解説されている。

「PlugX」は、内部に保持する設定情報に従って動作する。2014年10月に確認したPlugXでは、この設定情報のサイズが0x36a4バイトに拡張されており、これまでと比べると、2割以上サイズが増加しているという。

また、設定情報にも変更点があり、「P2P通信に関する設定が増加」「設定可能なC&Cサーバの数が16に増加」「実行禁止MACアドレス(感染端末のMACアドレスと比較し、一致する場合は終了する)が増加」「UAC回避を行う際に悪用するプロセスの設定が可能になる」などの変更点があるという。

PlugX全般に関する情報は、IIJが公開しているレポートの中で解説されている。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス(JPCERT/CC)
Internet Infrastructure Review (IIJ)