フィンランドF-Secureは現地時間11月9日,特定のセキュリティ・ベンダーおよび研究者を陥れようとする悪質なプログラム(マルウエア)が出回っていることを明らかにした。実行されると,特定のベンダーと研究者がそのマルウエアに関与しているように思わせるダイアログを表示する。
問題となっているマルウエアは「Gromozon」と呼ばれるもので,姿を隠す「ルートキット」機能や解析されないための「アンチ・デバッグ」機能などを備えた複数のマルウエアの集合体。イタリアのコンピュータ・ユーザーにはよく知られているという。
新たに確認されたGromozonの亜種は,実行されたパソコンでセキュリティ・ソフトが動作していることを検出すると,英語のメッセージが書かれたダイアログを表示するという。ダイアログは「Make donation now!(すぐに寄付しろ!)」というタイトルで,「このプログラムは私たちの広告ツールによりブロックされました。次のURLにアクセスして寄付してください。ご協力ありがとうございます。Marco Giuliani&Prevx.com Team」といった内容のメッセージが記述されている。
このメッセージを読む限りでは,「Marco Giuliani&Prevx.com Team」がこのマルウエア(Gromozon)を作成したように思える。記述されているURLも,Giuliani氏のWebサイトである。
しかし,実際には全くの逆。Prevxはセキュリティ・ベンダーで,Giuliani氏はセキュリティの研究者。同氏はGromozonに関する研究の第一人者で,PrevxのためにGromozon駆除ツールを開発した。F-Secureでは,Gromozonの作者はGiuliani氏の駆除ツールを回避できないことに業を煮やして,今回のような“機能”を追加したとみている。