米韓DDoS：マルウェア4種が連携、拡散と攻撃を繰り返す--シマンテック調べ

　シマンテックは7月10日、米韓の政府や金融機関、メディアなどのウェブサイトへの分散型サービス妨害（DDoS）の具体的方法について見解を明らかにした。

　同社の見解によれば、今回のDDoSには4つのマルウェアが関係しているという。「W32.Dozer」「Trojan.Dozer」「W32.Mydoom.A＠mm」「W32.Mytob!gen」の4つ（名称はシマンテックによるもの）が互いに連携して、拡散と攻撃を繰り返す。

　感染したPCから収集したメールアドレスへW32.Mytob!genが、ほかのすべてを含んだW32.Dozerを配布する。メールの添付ファイルとして送られてくるW32.Dozerをユーザーがクリックして実行すると、PCのシステム内にTrojan.DozerとW32.Mydoom.A＠mmが入り込む。

　こうしてシステム内に入り込んだTrojan.DozerがDDoSを実行し、バックドアを開く機能を実行させる。W32.Mydoom.A＠mmはシステムにW32.Mytob!genを侵入させるとともに、作成者の意図でW32.Mytob!genを削除できるツールも同時に残す。W32.Mytob!genがシステム内のメールアドレスを収集して、W32.Dozerを配布するというサイクルが繰り返されることになる。

　バックドアとして機能するTrojan.Dozerは、特定のポートを通じて指定されたIPアドレスに接続する。シマンテックは、以下のIPアドレスやポートで活動を検出している。

• TCP53から「213.33.116.41」
• TCP80から「216.199.83.203」
• TCP443から「213.23.243.210」

　トロイの木馬はこれらのIPアドレスから指示を受けて、自身のアップデートやDDoSのステータスを表示する。ダウンロードされたパッケージに含まれる特定のサイトに対してDDoSを展開する指示も受けることになる。

　シマンテックでは、こうした攻撃に対して、ユーザーは常にセキュリティソフトのアップデートを実施することを勧めている。また、メールの添付ファイルのフィルタリングやファイアウォールから上記のIPアドレスをブロックするなどの対策も効果的としている。