サイバー犯罪者のボットネット Simda(シマンテックは Trojan.Rloader.B として検出します)に対して、国際的な法執行機関による捜査が展開され、多数のコマンド & コントロール(C&C)サーバーをはじめ、犯人らが所有していたインフラストラクチャが押収されました。Simda に感染したコンピュータの数は全世界で 77 万台を超えるとインターポールは推定しています。
摘発は先週の火曜日に実施され、インターポールは本日午前、ボットネットの主な活動拠点のひとつがオランダにあり、そこで 10 台の C&C サーバーを押収したなどの詳細を発表しました。サーバーはこのほか、米国、ロシア、ルクセンブルク、ポーランドでも押収されています。
インターポールによると、被害者の大多数は自分のコンピュータが感染していたことに気付いていないだろうということです。最新のウイルス対策ソフトウェアを使って各自のコンピュータをスキャンし、確認することをインターポールは推奨しています。Simda の拡散には、他のボットネット、悪質な Web サイト、スパムメールなど多様なチャネルが利用されていました。
シマンテックは以前から Simda ボットネットの活動を確認しており、その出現について報告した 2013 年 6 月のブログ記事では、Waledac ボットネットが Simda(Trojan.Rloader.B)という形で新たなマルウェアを拡散し始めたことを指摘しています。
このマルウェアの作成者は、トロイの木馬をセキュリティ解析から隠蔽しようとするなど、高度な技術力を見せました。たとえば、初めて実行されるときに Simda は、仮想マシンではなく物理的なコンピュータ上で実行されていることを確認し、仮想マシン上であることを確認すると、ただちに自身を停止するようになっています。仮想マシンは、マルウェア解析のための安全な環境として利用されることが多いためです。
多くのボットネットと同様、Simda はその背後にいる集団によってさまざまな用途に使われています。シマンテックの解析で、中核的な機能のひとつはクリック詐欺であることが判明しました。たとえば、このマルウェアは Windows ホストファイルを改変して、各種の大手検索エンジンにアクセスしようとした被害者を悪質な IP アドレスにリダイレクトします。このリダイレクトを利用すると、攻撃者は感染したコンピュータの検索結果でポップアップ広告を表示させ、そこで広告収入を得ることができます。
ホストファイルの改変は、マルウェアが存続できる要因にもなります。被害者のコンピュータからマルウェアを削除しても、改変されたこのホストファイルが残っていると、被害者は悪質な IP アドレスにリダイレクトされ続け、それを使って被害者はさらに感染させられます。
Simda は、被害者の Web ブラウザに対しても操作を試み、Internet Explorer と Firefox の設定を変更してデフォルトの検索エンジンを Findgala に変えます。検索エンジンとしては機能しますが、Findgala には検索結果とともに広告も表示されます。
Simda が Trojan.Spachanel として知られるクリック詐欺マルウェアも追加でインストールすることを、シマンテックは確認しています。Spachanel は、JavaScript をインジェクトする機能を持ち、それによって Internet Explorer と Firefox の両ブラウザにポップアップ広告を表示します。
保護対策 シマンテック製品とノートン製品には、この脅威に対して次の保護対策が用意されています。
ウイルス対策:
侵入防止システム:
製品をお使いでない場合でも、無償ツール「ノートン パワーイレイサー」を使って、感染したコンピュータから Rloader を除去できます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】