シマンテックは7月10日、米韓の政府や金融機関、メディアなどのウェブサイトへの分散型サービス妨害(DDoS)の具体的方法について見解を明らかにした。
同社の見解によれば、今回のDDoSには4つのマルウェアが関係しているという。「W32.Dozer」「Trojan.Dozer」「W32.Mydoom.A@mm」「W32.Mytob!gen」の4つ(名称はシマンテックによるもの)が互いに連携して、拡散と攻撃を繰り返す。
感染したPCから収集したメールアドレスへW32.Mytob!genが、ほかのすべてを含んだW32.Dozerを配布する。メールの添付ファイルとして送られてくるW32.Dozerをユーザーがクリックして実行すると、PCのシステム内にTrojan.DozerとW32.Mydoom.A@mmが入り込む。
こうしてシステム内に入り込んだTrojan.DozerがDDoSを実行し、バックドアを開く機能を実行させる。W32.Mydoom.A@mmはシステムにW32.Mytob!genを侵入させるとともに、作成者の意図でW32.Mytob!genを削除できるツールも同時に残す。W32.Mytob!genがシステム内のメールアドレスを収集して、W32.Dozerを配布するというサイクルが繰り返されることになる。
バックドアとして機能するTrojan.Dozerは、特定のポートを通じて指定されたIPアドレスに接続する。シマンテックは、以下のIPアドレスやポートで活動を検出している。
- TCP53から「213.33.116.41」
- TCP80から「216.199.83.203」
- TCP443から「213.23.243.210」
トロイの木馬はこれらのIPアドレスから指示を受けて、自身のアップデートやDDoSのステータスを表示する。ダウンロードされたパッケージに含まれる特定のサイトに対してDDoSを展開する指示も受けることになる。
シマンテックでは、こうした攻撃に対して、ユーザーは常にセキュリティソフトのアップデートを実施することを勧めている。また、メールの添付ファイルのフィルタリングやファイアウォールから上記のIPアドレスをブロックするなどの対策も効果的としている。