「WORM_DORKBOT」:IRCボットの再来か
「WORM_DORKBOT」は、「NgrBot」とも呼ばれ、Internet Relay Chat (IRC)を介したワーム感染活動でボットネットを形成し、分散型サービス拒否(DDoS)攻撃を行う「IRCボット型のワーム」として以前より知られていました。2011年、このワームの感染拡大が南米地域で報告され、しかも今回の報告では、追加された様々なモジュールを駆使して、各種インスタントメッセンジャ(IM)やソーシャル・ネットワーキング・サイト(SNS)を介した感染活動や個人情報の収集も確認されました。むろん、このワームに感染したコンピュータも、各種コマンドをボットマスターから受信します。
このワームに感染したコンピュータは、「IRCボット」としてIRC通信プロトコルを介して各種のコマンドを扱うことが可能となります。サイバー犯罪者は、この機能を駆使して、感染したコンピュータ(IRCボット)へのコマンド送信を行います。この種の「IRCボット型ワーム」は、大規模感染被害が深刻化した「アウトブレイク時代」に最も猛威を振るった脅威と認識されていますが、その後の「Webからの脅威の時代」に台頭してきた「KOOBFACE」や「ZBOT」などに比べると、技術的にはそれほど巧妙な手口を備えているとはいえません。ただし、「ボットネットワークを駆使して別の情報収集型のコンピュータを感染させてユーザに深刻な金銭的被害をもたらす」という点では、いまでも有効なワームとして重宝されているようです。
ユーザは、どのようにして「WORM_DORKBOT」の亜種に感染しますか?
通常、ユーザが不正なサイトを閲覧した際、気づかずにダウンロードしてしまうことで、「WORM_DORKBOT」の亜種に感染します。また、リムーバブルドライブを介して感染する場合もあります。さらには、各種インスタントメッセンジャ(IM)やソーシャル・ネットワーキング・サイト(SNS)を介して感染する場合もあります。
「WORM_DORKBOT」の亜種が、侵入したコンピュータ内で実行されると、どのようなことが発生しますか?
「WORM_DORKBOT」の亜種は、侵入したコンピュータ内で実行されると、まず、他の不正なファイルのダウンロードを行います。また、複数のAPIへフックすることにより、特定のファイルや、プロセス、レジストリ値の隠ぺいも行います。これにより、侵入した「WORM_DORKBOT」の亜種が簡単に検出・削除されるのを避けます。さらに、「DnsQuery_A」および「DnsQuery_W」というAPIへもフックし、これにより、感染したコンピュータがセキュリティソフト関連のWebサイトへアクセスするのをブロックします。この2つのAPIにより、セキュリティソフト関連のWebサイトに関して、そのホスト名がIPアドレスへ解決される前に、閲覧可能かどうかをチェックすることができます。
そして、「WORM_DORKBOT」の亜種は、特定のIRCチャンネルに参加するため、IRCサーバへの接続を行います。その際、「NICK(IRC上で使用するニックネーム・ユーザ名)」作成のため、「http://api.wipmania.com/」にアクセスし、侵入したコンピュータのIPアドレスや地理的所在地を取得します。また、特定の文字列に関連するWebサイトの監視や、ブラウザからのログイン情報の取得なども行います。
「WORM_DORKBOT」の亜種は、どのようにして感染活動を行いますか?
「WORM_DORKBOT」の亜種は、まず、各種インスタントメッセンジャ(IM)を介してリンク付きのメッセージを送信することで感染活動を行います。メッセージ内のリンクをユーザがクリックすると、最終的には、このワームのコピーがダウンロードされることになります。特に「MSNメッセンジャー」の場合、このワームの亜種は、侵入したコンピュータ内で「MSNプロトコル」を監視し、そのコンピュータから(自身のコピーがダウンロードされる)不正なリンクを含んだメッセージを送信します。
また、Twitter(ツイッター)やFacebookなどのソーシャル・ネットワーキング・サイト(SNS)を介して不正なリンク付きのメッセージを送信することでも感染活動を行います。この場合も、メッセージを受信したユーザがうっかりリンクをクリックすると、別のサイトにリダイレクトされ、そこからこのワームのコピーがダウンロードされることになります。さらには、リムーバブルドライブを介して感染活動も行います。この場合は、"AUTORUN.INF" ファイルおよびショートカットファイル(拡張子:.LNK)も作成し、最終的にこのワームのコピーが侵入したコンピュータ内で実行されることになります。
「WORM_DORKBOT」の亜種は、感染活動に際して、どのようなインスタントメッセンジャ(IM)やソーシャル・ネットワーキング・サイト(SNS)を利用しますか?
主に以下のようなIMを利用することが確認されています。
- mIRC
- MSN メッセンジャー
- Pidgin
- Windows Live メッセンジャー
- XChat
また、さらなる感染拡大を狙って以下のようなSNSを利用することも確認されています。
- Twitter(ツイッター)
「WORM_DORKBOT」の亜種は、どのような被害をユーザに与えますか?
「WORM_DORKBOT」の亜種に感染した場合、ユーザは、個人情報漏えいのリスクにさらされることになります。収集された個人情報は、サイバー犯罪者たちにより、アンダーグラウンド市場で売りさばかれたり、さらなるサイバー攻撃に利用されたりします。また、他の不正なファイルもダウンロードされるため、さらなる感染被害を招くといったセキュリティ上のリスクにもさらされる可能性があります。サイバー犯罪者たちは、感染したコンピュータをボットとして活用し、分散型サービス拒否(DDoS)攻撃を行う場合もあります。
WORM_DORKBOTの亜種がNoteworthy(要注意)に分類される理由は何でしょうか?
まず、このワームに関連する各種モジュールが、「IRCボット型ワームのモジュール」としてアンダーグラウンド市場で購入できるという点が理由としてあげられます。そうした購入できるモジュールの中には、パスワード取得用モジュールがあり、これを使用すれば、POSTメソッドを介して特定のWebサイトの入力欄をモニタリングすることができます。このようなモジュールが備わっている可能性があることからも、サイバー犯罪者たちがこのワームの亜種を駆使し、ユーザの個人情報やその他の情報を容易に収集できることが理解できます。
もう1つの理由は、感染したコンピュータの地理的所在地に基づいて「NICK」を作成できることです。「NICK」とは、IRCのユーザが特定のチャンネルに参加する際に使用するユーザ名のことですが、これにより、サイバー犯罪者は、感染したコンピュータをボットとして利用する際、その地理的所在地も把握することができます。この情報を活用すれば、サイバー犯罪者が特定地域を標的にした分散型サービス拒否(DDoS)攻撃やその他の不正活動を実行する際、その特定地域に近接したボット(感染コンピュータ)を効果的に駆使することができます。たとえば、特定の国の企業を標的にしたい場合、「その国内のすべてのボット(感染コンピュータ)を動員して攻撃を実行する」といった手法も可能になります。
トレンドマイクロ製品は、この脅威を防ぐことができますか?
もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」は、「E-mail レピュテーション」技術により、スパムメールがユーザに届く前にブロックします。また、「Web レピュテーション」技術により、ユーザがアクセスする前に、不正プログラムがダウンロードされる不正Webサイトやスパムサイトをブロックします。さらに、「ファイルレピュテーション」技術により、「WORM_DORKBOT」の亜種に関連するすべての不正ファイルの実行を防ぎ削除します。
また、ご使用のコンピュータの自動再生機能を無効にしておくことも推奨します。これにより、リムーバブルドライブを介して「WORM_DORKBOT」の亜種が侵入してくるのを防ぐことができます。さらに、インスタントメッセンジャ(IM)やソーシャル・ネットワーキング・サイト(SNS)を介してメッセージ内のリンクをクリックする際、それが一見して信用のおける相手からであっても、細心の注意を払う必要があります。
トレンドマイクロの専門家からのコメント:
「一般的にマルウェア検出数が増加の一途をたどっている要因の1つとしては、マルウェアのソースコード、もしくはマルウェアを作成するツールキットなどがオンライン上に出回っていて比較的簡単に入手できるという点があげられます。たとえば、ボットネット「Zeus」の場合も、このボットネットを構築するマルウェア作成のためのツールキット「ZeuS」やマルウェアのソースコードがオンライン上に出回ったことで、技術的な知識に長けていないサイバー犯罪たちも不正活動を行うことできた、という経緯がありました。同様に「DORKBOT」の場合も、このボットを作成するツールキットがアンダーグラウンドフォーラムに出回ったため、「ボットは高額のため購入できない」というユーザたちも、ボットを駆使した不正活動に手を染めることができ、こうしたことが、検出数の増加につながったと考えることができるでしょう。」
- スレット・リサーチャー Jessa Dela Torre