JPEGファイルのEXIFヘッダにPHPの命令を埋め込みむことで偽装をほどこすマルウェアが発見されたそうです(sucuri blog、GIGAZINE、slashdot)。
何をいっているのかイマイチわかりにくいですが、slashdotのコメントをじっくり読んで次のような挙動であると理解しました。
- 元のマルウェアはPHPスクリプト。
- マルウェアで利用する命令文を画像ファイルのEXITFヘッダに埋め込んでおく(セットで配布する?)。
- マルウェア発動時にPHPのpreg_replaceの脆弱性を利用し、画像のEXITFヘッダ命令を実行。
- 周りくどいけど、マルウェアとして判別されにくいという利点あり。
工夫がスゴイですね(汗。
ちなみに発見元のブログはセキュリティ会社で、記事の最後に「このようなマルウェアでも我が社のセキュリティソフトでは保護可能」という宣伝が入っていました。マッチポンプの気配…。
