Bagleに3つの新亜種--スパム対策手法をヒントに検知ソフトをすり抜ける?

Munir Kotadia (ZDNet UK)2004年03月16日 08時39分

 先週末に見つかったBagleワームの3つの新亜種(N、O、P)は、従来の亜種とは異なり、スパム対策のトリックを利用してウイルス対策ソフトの監視の目をすり抜けようとするものとなっているが、専門家らの考えでは、この試みはうまくいきそうにないという。

 Bagleワームは感染したPCのシステムに裏口を作り、これをメールのゲートウェイとして利用して、スパムを送信するものだが、このBagleは3月のはじめ頃から、暗号化されたZipファイルの形でメールに添付され、メール本文にはその暗号化されたファイルへのアクセスに必要なパスワードが含まれるようになっている。ウイルス対策ソフトメーカー各社はその後数日以内に、パスワードを検知してZipファイルを復号するように製品をアップデートした。

 しかし今回Bagle作者がリリースした3つの新亜種では、パスワードがグラフィックや画像ファイルの形になっているため、感染メールを単純にテキストスキャンするだけではパスワードを見つけられなくなっている。このトリックは、ウェブサイトで電子メールアドレスを表示する際に、インターネット上でスパムターゲットを探すロボットに見つからないようにするのによく用いられる方法だ。

 Bagle作者がスパム対策トリックを「善良な人々」に対して用いているのは皮肉なことだが、ウイルス対策ソフトメーカーにとっては大した問題にはならないだろう、とSophosのシニア・テクノロジーコンサルタント、Graham Cluleyは述べている。

 「作者がパスワードを普通のテキストではなく画像にしたのは、ウイルス対策ソフトメーカーが添付ファイルの中身をスキャンするのにパスワードを抽出していると考えたからだ。みんながスパム業者に見つからないようにするために、ウェブサイトで電子メールアドレスを画像にして公開している。Bagle作者はこの方法を、善良な人々に対して使ったのだ」(Cluley)

 Cluleyによると、Sophosは週末にシステムをアップデートし、新亜種も検知できるようにしたという。

 一方Symantec Security Responseのシニアマネージャー、Kevin Hoganは、Norton Antivirusも新亜種を検知できるようになると述べている。「我々の製品にある検知機能には影響しないだろう。我々は暗号化されたZip形式のワーム検知に(テキストパスワード)を用いてはいない。我々は完全にファイルを展開せずとも、必要な情報を得ることができる」(Hogan)

この記事は海外CNET Networks発のニュースをCNET Japanが日本向け に編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]