シマンテックは7月10日、米韓の政府や金融機関、メディアなどのウェブサイトへの分散型サービス妨害(DDoS)の具体的方法について見解を明らかにした。
同社の見解によれば、今回のDDoSには4つのマルウェアが関係しているという。「W32.Dozer」「Trojan.Dozer」「W32.Mydoom.A@mm」「W32.Mytob!gen」の4つ(名称はシマンテックによるもの)が互いに連携して、拡散と攻撃を繰り返す。
感染したPCから収集したメールアドレスへW32.Mytob!genが、ほかのすべてを含んだW32.Dozerを配布する。メールの添付ファイルとして送られてくるW32.Dozerをユーザーがクリックして実行すると、PCのシステム内にTrojan.DozerとW32.Mydoom.A@mmが入り込む。
こうしてシステム内に入り込んだTrojan.DozerがDDoSを実行し、バックドアを開く機能を実行させる。W32.Mydoom.A@mmはシステムにW32.Mytob!genを侵入させるとともに、作成者の意図でW32.Mytob!genを削除できるツールも同時に残す。W32.Mytob!genがシステム内のメールアドレスを収集して、W32.Dozerを配布するというサイクルが繰り返されることになる。
バックドアとして機能するTrojan.Dozerは、特定のポートを通じて指定されたIPアドレスに接続する。シマンテックは、以下のIPアドレスやポートで活動を検出している。
トロイの木馬はこれらのIPアドレスから指示を受けて、自身のアップデートやDDoSのステータスを表示する。ダウンロードされたパッケージに含まれる特定のサイトに対してDDoSを展開する指示も受けることになる。
シマンテックでは、こうした攻撃に対して、ユーザーは常にセキュリティソフトのアップデートを実施することを勧めている。また、メールの添付ファイルのフィルタリングやファイアウォールから上記のIPアドレスをブロックするなどの対策も効果的としている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」