Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「SpyEye」と類似したルートキット機能を備える「Dorkbot」などへMSRTが対応

日本マイクロソフトは、3月の月例セキュリティ更新プログラムの提供にあわせ、「悪意のあるソフトウェアの削除ツール(MSRT)」を更新し、4件のマルウェアファミリーに対応した。いずれも日本国内で目立った感染活動は確認されていないという。

今回対応した「Dorkbot」は、IRCにより命令を受け取るボットプログラム。米国をはじめ、メキシコ、ロシア、スペイン、コロンビアで感染が広がっている。

同マルウェアのコードは、闇市場において300ドルほどで取り引きされており、さらにリバースエンジニアリングで作成された海賊版も100ドルほどで流通。カスタマイズが行えるツールも出回っており、知識がない攻撃者でも簡単に作成できる状況となっている。

感染ルートは多彩で、リムーバブルメディアやメッセンジャーによる拡散のほか、「Twitter」や「Facebook」などSNSサイトに不正なリンクを挿入する機能なども備える。

盛り込まれている機能も多い。オンラインバンキングをはじめとしたパスワード情報を窃取するほか、「SpyEye」に類似したテクニックを用いたルートキット機能などを実装。さらにDNS設定の変更やサービス拒否攻撃へ対応している。

一方「Hioles」は、外部のコマンド&コントロールサーバと通信を行うトロイの木馬。亜種である「Hioles.C」は、「Hotmail」や「Yahoo!メール」「Gmail」などウェブメールの情報を盗み出す。米国、スペイン、メキシコ、アルゼンチン、ブラジルで感染が確認されている。

「Yeltminky」は、オートラン機能を利用して拡大するワーム。米国、トルコ、フランス、スペイン、ブラジルで感染が目立っている。感染するとおもに中国でサービスを提供しているセキュリティベンダーのウェブサイトへアクセスできないよう「hostsファイル」を改変する。

「Pluzoks」は他のプログラムをインストールダウンローダー型のトロイの木馬。マルウェアの多重感染を引き起こす可能性がある。感染活動の99%は韓国だった。

(Security NEXT - 2012/03/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

学内から外部に不正通信、マルウェア感染端末を特定できず - 成蹊中高
2016年2月にESET最新版 - ネット取引の保護機能など追加
管理ツール刷新した法人向けESET新版 - 現場の声に耳を傾けゼロから開発
ネットバンク利用者狙う「WERDLOD」 - 感染後常駐しない「設定変更型」
Windows向けESETに新版 - ボット対策やJava脆弱性を防御
トレンド、クラウド型ゲートウェイサービス2種を投入
ボットや脆弱性攻撃の対策機能を強化したESET新版 - モニター提供が開始に
DNSによりマルウェア接続防ぐ「Infoblox DNS Firewall」に「FireEye」との連携機能
データセンターのニーズに対応する「Check Point 13500アプライアンス」
Infoblox、悪用ドメインの名前解決を拒否するDNS製品 - 組織内ボットの外部接続を阻止