JPEGファイルのEXIFヘッダを利用するマルウェア発見される

Malware

JPEGファイルのEXIFヘッダにPHPの命令を埋め込みむことで偽装をほどこすマルウェアが発見されたそうです(sucuri blogGIGAZINEslashdot)。

何をいっているのかイマイチわかりにくいですが、slashdotのコメントをじっくり読んで次のような挙動であると理解しました。

  • 元のマルウェアはPHPスクリプト。
  • マルウェアで利用する命令文を画像ファイルのEXITFヘッダに埋め込んでおく(セットで配布する?)。

  • マルウェア発動時にPHPのpreg_replaceの脆弱性を利用し、画像のEXITFヘッダ命令を実行。
  • 周りくどいけど、マルウェアとして判別されにくいという利点あり。

工夫がスゴイですね(汗。

ちなみに発見元のブログはセキュリティ会社で、記事の最後に「このようなマルウェアでも我が社のセキュリティソフトでは保護可能」という宣伝が入っていました。マッチポンプの気配…。

スポンサーリンク