米韓DDoS:マルウェア4種が連携、拡散と攻撃を繰り返す--シマンテック調べ

田中好伸(編集部)

2009-07-10 19:18

 シマンテックは7月10日、米韓の政府や金融機関、メディアなどのウェブサイトへの分散型サービス妨害(DDoS)の具体的方法について見解を明らかにした。

 同社の見解によれば、今回のDDoSには4つのマルウェアが関係しているという。「W32.Dozer」「Trojan.Dozer」「W32.Mydoom.A@mm」「W32.Mytob!gen」の4つ(名称はシマンテックによるもの)が互いに連携して、拡散と攻撃を繰り返す。

 感染したPCから収集したメールアドレスへW32.Mytob!genが、ほかのすべてを含んだW32.Dozerを配布する。メールの添付ファイルとして送られてくるW32.Dozerをユーザーがクリックして実行すると、PCのシステム内にTrojan.DozerとW32.Mydoom.A@mmが入り込む。

 こうしてシステム内に入り込んだTrojan.DozerがDDoSを実行し、バックドアを開く機能を実行させる。W32.Mydoom.A@mmはシステムにW32.Mytob!genを侵入させるとともに、作成者の意図でW32.Mytob!genを削除できるツールも同時に残す。W32.Mytob!genがシステム内のメールアドレスを収集して、W32.Dozerを配布するというサイクルが繰り返されることになる。

 バックドアとして機能するTrojan.Dozerは、特定のポートを通じて指定されたIPアドレスに接続する。シマンテックは、以下のIPアドレスやポートで活動を検出している。

  • TCP53から「213.33.116.41」
  • TCP80から「216.199.83.203」
  • TCP443から「213.23.243.210」

 トロイの木馬はこれらのIPアドレスから指示を受けて、自身のアップデートやDDoSのステータスを表示する。ダウンロードされたパッケージに含まれる特定のサイトに対してDDoSを展開する指示も受けることになる。

 シマンテックでは、こうした攻撃に対して、ユーザーは常にセキュリティソフトのアップデートを実施することを勧めている。また、メールの添付ファイルのフィルタリングやファイアウォールから上記のIPアドレスをブロックするなどの対策も効果的としている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]