Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

RDPで感染広げるワーム「Morto」、命令系統に「DNS」

8月にRDP経由で感染する新型ワーム「Morto」が発生し、国内でも感染の疑いが出ているが、シマンテックによれば、RDPを利用する以外にも特異な性質を持っているという。

同社によれば、外部から命令を受け取るC&Cサーバに、同ワームではドメイン名の解決を行う「DNSサーバ」のDNSの「TXTレコード」を利用していたいたという。

同社がワームを解析したところ、DNSレコードを要求するようプログラムされており、暗号化された「TXTレコード」を参照。そこからIPアドレスを得て、別のマルウェアがダウンロードし、実行していた。

今回の攻撃では、複数のドメインが悪用されていたが、いずれもDNSの本来の目的である「Aレコード」などIPを解決する値は設定されていなかった。

「Morto」の操作を行うためだけにドメインが用意していたと見られ、シマンテックでは、命令系統を隠蔽するのにDNSを利用する珍しいケースだと説明している。

(Security NEXT - 2011/09/09 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

2017年の新種ランサムウェア、前年比62%増 - 「WannaCrypt」検出、日本は2位
偽佐川急便からのSMSに注意を - ネットバンク利用者狙う不正アプリを拡散
米政府、北朝鮮攻撃グループが悪用したマルウェア「Joanap」「Brambul」の情報を公開
「Drupal」脆弱性で感染を拡大するボット「Muhstik」見つかる
なくならない「WannaCrypt」の検出 - 国内で少なくとも1900台が脆弱性を放置か
米政府、「WannaCrypt」の攻撃者を北朝鮮と断定 - 日本も同調
日本シーサート協議会の初イベント、新旧の交流の場に - テーマは「絆」
盆休み「6日以上」が35%、長期休暇に備えセキュリティ対策を
ネットワーク経由のマルウェア検出が急上昇 - 「WannaCrypt」が影響
「VirusTotal」にCylanceエンジン - 「WannaCrypt」検知で優位性に自信