Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ボット収集数が倍増、海外複数IPからの大量配布 - CCCまとめ

サイバークリーンセンター(CCC)は、2009年12月のボット検知状況を取りまとめた。収集数が減少した11月から一転、大幅な増加を見せ、内部増殖型のファイル感染型ウイルスが活発だったという。

同センターによれば、ハニーポットなどを利用して収集した12月のボット収集総数は21万5995件で11月の10万9588件から倍増した。一方重複を除く同定検体数は3965件で、11月の3673件から緩やかな増加にとどまった。ウイルス対策ソフトで検知できない未知検体数も379件で、前月の357件から微増した。

収集数の動きを見ると、11月末に見られた未知検体の急増は12月2日にいったん収束したものの、中旬ごろから既知検体として海外の複数IPから大量に収集され、月末にかけて増加傾向が続いたという。

収集検体の種類も増えており、収集数の動きと同様に中旬からの増加が目立っている。原因は、海外複数IPの大量配布により、内部で増殖するファイル感染型ウイルスの活動が活発化したためと同センターでは分析している。

検体種類別の傾向を見ると、ランキング1位の「WORM_KOLAB.EA」、2位の「TROJ_BUZUS.BEZ」、3位の「PE_VIRUT.AV」の3種で全体の半数以上を占めた。「WORM_KOLAB.EA」と「TROJ_BUZUS.BEZ」は海外特定サイトから大量配布されており、IPを切り替えた12月上旬に配布量の急増が見られた。

この海外特定サイトは下旬にもIPの切り替えを行っており、その後上位5検体の配布量は減少したが、あらたに未知検体の配布を行っているという。

また「PE_VIRUT.AV」については国内からの収集が多く、「TROJ_BUZUS.BEZ」を含むものや、感染後に「WORM_KOLAB.EA」をダウンロードするものが多く見られるなど、関連性が強いと見られている。

(Security NEXT - 2010/02/16 ) このエントリーをはてなブックマークに追加

PR

関連記事

国内ネット利用者の214人に1人がボット感染 - 世界で203位
マルウェア感染メールの割合が5カ月連続で上昇 - 「Necurs」復活が影響か
家庭向けIoT機器への攻撃、1日あたり1.9万IPアドレスから
5月はウェブ経由の攻撃が増加 - 新ランサム「Jaff」の拡散も
2016年は新種ランサムが88%増 - ただし2016年4Qは7割減
3月にウェブ経由の攻撃が増加、前月の1.5倍に - 「Necurs」復活でスパム増加の兆し
2月はマルウェアが急増、前月の3倍に - 「Kovter」が活発化
マルウェアメールが大幅減、「Necurs」停滞が影響か - 新種マルウェアは3290万件
2016年4QのDDoS攻撃は16%減 - 100Gbps超は12件
「2323番ポート」や「7547番ポート」へのパケットが増加 - JPCERT/CCが観測