Morto はゲーム好き

W32.Morto が初めてニュースで注目されたのは 8 月のことで、それは Windows のリモートデスクトッププロトコル（RDP）を利用して拡散する機能を持っているためでした。W32.Morto は、このプロトコルを使う初めてのワームという点で独特でしたが、他に類を見ないのはその点だけではありません。同僚の Cathal Mullaney 氏は、W32.Morto が攻撃者からワームへのコマンドの通信に DNS（Domain Name System）のレコードを利用していることも突きとめました。シマンテックでは、W32.Morto と、それが DNS クエリーから受け取るコマンドを発見以来、監視を続けていますが、ダウンロードされたファイルは 3 週間が経過しても意味のある活動は行っていませんでした。

ところが、ついに更新版に変化が現れるようになりました。最新の更新版には、強力に暗号化されたデータがレジストリに存在する、同一の不明瞭化手法を使っているなど、元の W32.Morto と共通する特徴があります。しかし、RDP による拡散の仕組みは組み込まれなくなっており、コマンドを受信する際に DNS も実行しなくなりました。新しい W32.Morto が実行する最も特徴的な活動は、オンラインゲームサイトのインデックスページを解析することです。中国で人気のある MMORPG『誅仙（ZhuXian）』のサーバーエミュレータについてオンラインステータスが一覧されるインデックスページが対象になっています。サンプルページを以下に示します。サーバーエミュレータとは、元のゲーム開発者によって公開されているアリーナとは別のアリーナを公開するために、サードパーティが実行しているサーバーです。最初の解析が完了すると、W32.Morto は解析チェーンの次のページを解析し、次の意味を持つ中国語のテキストを検索します。

「次の質問にお答えください」

このテキストが見つかると、W32.Morto はページ上に送信フォームがあるかどうか探そうとします。これは、CAPTCHA のようなロボット対策の手法を自動的に回避する手口かもしれません。

では、その動機は何かというと、それはまだわかっていません。確認した限り、インデックスに一覧されているサーバーエミュレータのサイトには、いずれもゲームに使うポイントを購入するページが含まれていました。W32.Morto は、解析してみると独特なマルウェアではありますが、攻撃の裏にある動機は、最近よく見られる他のマルウェアと変わらない、つまり金銭の詐取が目的だろうと考えられます。シマンテックでは、この攻撃の最終的な目的を説き明かすために調査を続けており、詳しいことが判明ししだい、追ってご報告する予定です。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。