米韓DDoSのボットネットワーム、感染PCのデータを消去する可能性

　2009年7月第1週の週末に始まった米韓のウェブサイトに対するDoS（サービス拒否）攻撃は、今のところ止まっているかもしれないが、感染したボット（ゾンビPC）上のコードは米国時間7月10日にデータを消去するようプログラムされていた、とセキュリティ専門家は述べた。

　SymantecのSecurity Technology Responseグループに所属する製品マネージャーのGerry Egan氏は、ボットネット内の感染したPCでファイルが削除されたという緊急報告はないが、現在または将来にそうした事態が起こることを否定するものではない、と述べた。

　攻撃に使用された感染PCは世界中で約5万台にとどまり、「Conficker」ワームに感染したPCが数百万台だったのと比べると少ない、とEgan氏は述べた。

　米韓の数十の政府サイトや商用サイトへのDDoS（分散型サービス拒否）攻撃は、米独立記念日の7月4日を含む週末に始まった。攻撃はその後の1週間に少なくとも2度再燃し、ホワイトハウスや米連邦取引委員会（FTC）、米財務省検察局（Secret Service）、The Washington Postなどのサイトに影響を与えた。

　感染したPCに入り込むファイルの1つは、マスターブートレコード（MBR）を含むPC上のファイルを削除するようプログラムされており、PCの再起動時にシステムを操作不能にする可能性がある、とSymantecは述べた。「基本的には、これが実行されると、個人の（PCの）システムに不具合が生じる」（Egan氏）

　ボットネットの専門家であるSecureWorksのJoe Stewart氏は、この自己破壊型「トロイの木馬」をテストし、感染したシステムのハードディスクを消去する能力を持つことを発見したが、その機能はまだ発動していない、とThe Washington Postに語った。コードの中にバグがあるか、後日作動するよう設定されているかのどちらかだろう、とStewart氏は推測した。

　研究者らは、攻撃を仕掛けているボットネットは数種類のマルウェアに感染していることを確認している。メール経由の感染拡散には「MyDoom」が利用されている、とSymantecなどのセキュリティベンダーは報告した。

　SymantecのSecurity Blogsによると、マルウェア「W32.Mytob!gen」が、感染したコンピュータから収集したメールアドレスへ、他のコンポーネントを含むドロッパープログラム「W32.Dozer」を配布するという。ユーザーがメールに添付されたW32.Dozerを実行すると、システムに「Trojan.Dozer」と「W32.Mydoom.A@mm」が入り込む。

　Associated Pressの記事によると、韓国当局者は記者団に対し7月10日、このDoS攻撃には韓国、米国、日本、グアテマラなど16カ国の86のIPアドレスが使用されたが、その中に北朝鮮は含まれないと述べたという。