Storm Wormのボットネットが急拡大、「超大型」DDoSの可能性も




 セキュリティ企業のMcAfeeは、マルウェアのStorm Wormこと「Nuwar」の活動が最近再び活発になっていると報告した。背後にいる組織は最大級のボットネットを形成しているとみられ、超大型のDDoS(分散サービス妨害)攻撃を仕掛ける可能性も指摘されている。

 McAfeeによると、ボットネットの急増は、ソーシャルエンジニアリングの手口を使ったeカードスパムが大量に出回った結果とみられる。また、最近出現したRARスパムにもNuwarが絡んでいるようだという。

 Nuwarの開発者はスパムの効率向上に力を入れているだけでなく、検出を免れる仕組みを次々に導入。最近の傾向として、既にスタートアップレジストリに登録されている実行可能ファイルに寄生する形で感染し、不正コードのためのローダーを挿入する手口が浮上している。

 Nuwarの最近の亜種もこの手口を採用し、TCP/IPドライバであるtcpip.sysに寄生する形で感染して、悪質デバイスドライバファイルのためのローダーコードを挿入する。この手口により、レジストリをチェックして怪しい実効可能ファイルがないかどうかを調べるツールがかわされてしまう可能性がある。

 このほかにもNuwarは、「サーバベースのポリモーフィズム」、各種MMX命令の利用、偽のAPI関数呼び出しなど、検出を免れるためのさまざまな手口を導入しているという。

(2007.8.8/ITmediaエンタープライズ)
[PR]

by fbitnews2006-6 | 2007-08-08 20:49 | インターネット総合  

<< 携帯で募金集め・日テレ、DeNAと iPhone を日本で使うため... >>