Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「SpyEye」と類似したルートキット機能を備える「Dorkbot」などへMSRTが対応

日本マイクロソフトは、3月の月例セキュリティ更新プログラムの提供にあわせ、「悪意のあるソフトウェアの削除ツール(MSRT)」を更新し、4件のマルウェアファミリーに対応した。いずれも日本国内で目立った感染活動は確認されていないという。

今回対応した「Dorkbot」は、IRCにより命令を受け取るボットプログラム。米国をはじめ、メキシコ、ロシア、スペイン、コロンビアで感染が広がっている。

同マルウェアのコードは、闇市場において300ドルほどで取り引きされており、さらにリバースエンジニアリングで作成された海賊版も100ドルほどで流通。カスタマイズが行えるツールも出回っており、知識がない攻撃者でも簡単に作成できる状況となっている。

感染ルートは多彩で、リムーバブルメディアやメッセンジャーによる拡散のほか、「Twitter」や「Facebook」などSNSサイトに不正なリンクを挿入する機能なども備える。

盛り込まれている機能も多い。オンラインバンキングをはじめとしたパスワード情報を窃取するほか、「SpyEye」に類似したテクニックを用いたルートキット機能などを実装。さらにDNS設定の変更やサービス拒否攻撃へ対応している。

一方「Hioles」は、外部のコマンド&コントロールサーバと通信を行うトロイの木馬。亜種である「Hioles.C」は、「Hotmail」や「Yahoo!メール」「Gmail」などウェブメールの情報を盗み出す。米国、スペイン、メキシコ、アルゼンチン、ブラジルで感染が確認されている。

「Yeltminky」は、オートラン機能を利用して拡大するワーム。米国、トルコ、フランス、スペイン、ブラジルで感染が目立っている。感染するとおもに中国でサービスを提供しているセキュリティベンダーのウェブサイトへアクセスできないよう「hostsファイル」を改変する。

「Pluzoks」は他のプログラムをインストールダウンローダー型のトロイの木馬。マルウェアの多重感染を引き起こす可能性がある。感染活動の99%は韓国だった。

(Security NEXT - 2012/03/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

脆弱性「SambaCry」狙うマルウェアに警戒を - NASなども標的に
国内IPアドレス経由のマルウェアメール送信が拡大 - 「Gozi」感染端末が踏み台に
「マルウェア除去ツールの配布」装うメールに注意 - 指示に従うとマルウェア感染
「404 Not Found」でこっそりマルウェアへ命令 - エラーログもチェックを
「Rovnix」が国内ネットバンクを標的に - 情報詐取後にログイン画面の表示を妨害
2016年2月にESET最新版 - ネット取引の保護機能など追加
上位版「Emdivi」登場 - マルウェアによる不正通信は1カ月で3倍以上に
ネットバンキング利用者を狙う「DYRE」が拡大 - アジア地域も浸食中
管理ツール刷新した法人向けESET新版 - 現場の声に耳を傾けゼロから開発
ネットバンク利用者狙う「WERDLOD」 - 感染後常駐しない「設定変更型」