メモ。

しばらく前に、シマンテックは W32.Xpaj.B ウイルスの新しい亜種を確認し、その新機能に関する初期段階の詳細と、感染第 1 号の爆発的感染の状況について以前のブログで報告しました。その後さらに解析を進めましたが、結論として爆発的な感染はなく、少なくとも当面の間は W32.Xpaj.B is の再来もないと考えるに至っています。
解析から明らかになったのは、以下の点です。
第 1 号に感染したサンプルは、他のサンプルに感染する機能を持っていない。
64 ビットカーネルモードのペイロードは、標的とするプロセスに DLL（ダイナミックリンクライブラリ）をインジェクトするが、その DLL は空である。
感染したサンプルは第 1 号からウイルス本体のコピーを引き継いでおらず、それよりはるかに小さいウイルスによって感染している。
こうしたすべての事実から、この感染第 1 号は単なるテストサンプルであったと推測され、ウイルスは実質的なペイロード機能を実行しようとはせず、自己複製機能も存在しないと考えられます。これは、シマンテックの遠隔測定データからも裏づけられます。活動が確認されているマスターブートレコード（MBR）の感染を調べても（MBR 感染は W32.Xpaj.B の新しい亜種によるものだけで、古い亜種では発生していません）、その数は現時点で 50 に満たず、これは驚くほど少ないと言えます。
このサンプルは、爆発的な感染を狙って公開されたものではなかったようです。小規模なテストの目的で一部の特定の標的に宛てて送信されたか、作成者の手元から何らかの理由で漏えいしたかのどちらかでしょう。

W32.Xpaj.B の特殊例: 感染第 1 号 | Symantec Connect