PoisonIvy亜種の話。

「TrendLabs（トレンドラボ）」では、自身の活動を隠ぺいさせる目的で正規のアプリケーションを悪用する「PoisonIvy」の検体を入手しました。「BKDR_POISON.BTA」として検出される ”newdev.dll” は、これまでの PoisonIvy が用いた手法と異なり、「DLLプリロード攻撃（別名：バイナリの植え付け）」として知られる手法を利用します。DLLプリロード攻撃は、実行された正規アプリが同じフォルダに存在する正規ファイルの同名ファイルを読み込んでしまうことを狙ったものです。これにより、ユーザは正規アプリや無害な文章ファイルを開いたつもりでも、その裏で不正プログラムが実行されてしまいます。

標的型攻撃で利用される「PoisonIvy」、正規アプリケーションを悪用する隠ぺい活動を実行 | トレンドマイクロ セキュリティブログ