W32.Wergimog はリムーバブルドライブを介して拡散し、バックドアを開こうとするワームです。その亜種を調べているときに興味深いサンプル(W32.Wergimog.B と命名)が見つかりました。どちらも同じソースコードをベースにしていますが、.B 型の亜種にはさらに注目すべき機能が含まれていたので、ここで詳しくお伝えしたいと思います。
正規のアプリケーションに対する攻撃
W32.Wergimog.B は、Internet Explorer や Mozilla Firefox などの正規のアプリケーションに自身をインジェクトします(図 1)。
図 1: W32.Wergimog.B は特定のアプリケーションに自身をインジェクトしてインターネットに接続する
インジェクト先のアプリケーションにネットワーク接続機能があることを確認すると、W32.Wergimog.B は以下にまとめた一連の機能を実行します。
ソーシャルネットワークサービス(SNS)サイトへの投稿
W32.Wergimog.B には、ユーザーが以下のいずれかの SNS サイトにアクセスしたときにチャットメッセージ、ステータス更新、ツイートを書き換える機能があります。
- Facebook のチャット
- Facebook のウォール
- Hi5 のステータス更新
- Hyves のステータス
- Linkedin のステータス更新
- Myspace のステータス更新
- Omegle のチャット
- Twitter のツイート
このワームは、最初にコマンド & コントロール(C&C)サーバーに接続して、SNS サイトに投稿する内容を取得します。現時点で、シマンテックはこの投稿内容を入手できていませんが、投稿するコマンドは「spread」と呼ばれています。したがって、この投稿には、W32.Wergimog.B などの悪質なプログラムをユーザーにダウンロードさせる URL が含まれている可能性が高いと思われます。
SNS サイトを介して拡散を試みるマルウェアは、これが初めてではありません。たとえば W32.Koobface も、このアプローチを採用していました。これらのワームが拡散に使うサイトには類似性も見られますが、両者の間には違いがあります。それは、Koobface グループと違って W32.Wergimog.B は自身で SNS サーバーには接続せず、ユーザーが新しく投稿するまで待ってから、それを書き換えるということです。
アカウントの窃盗
このワームには、侵入を受けたユーザーが以下のいずれかのサイトにログインしたときに、ユーザーアカウントとパスワードの情報を盗み出すというもうひとつの機能があります。
- fileserve.com
- hackforums.net
- hotfile.com
- megaupload.com
- thepiratebay.org
- uploading.com
ここに挙げたうちのいくつかは、ファイル共有サービスサイトであることに注目してください。つまり、盗み出されたアカウント情報は、これらのダウンロードサイトを介してワームを拡散し、そこからさらに先へ拡散するために利用されるおそれがあります。
ライバルの脅威に対する攻撃
このワームで注目に値するのは、他の脅威に対しても自身をインジェクトすることです(図 2)。
図 2. ライバルの脅威に自身をインジェクト
W32.Wergimog.B は、ライバルの脅威の名前とシグネチャをリストに持ち、同じコンピュータ上にそれらの脅威が存在するかどうかを調べます。標的となっているのは、以下の脅威です。
- DarkComet
- IRCBot
- Metus
- RXBot
- Warbot
- xvisceral
ライバルの脅威の名前とそれに対応するシグネチャを以下の図に示します。
図 3. 脅威の名前とそれに対応するシグネチャのペア
インジェクションに成功すると、ワームはコンピュータ上でネットワーク通信をフックします。次にシグネチャを確認し、ライバルの脅威を見つけた場合にはそのプロセスを終了させます。この機能に当たるのが次の図です。これは、IPS ソフトウェアの動作ときわめてよく似ています。
図 4: Wergimog.B はライバルの脅威を見つけるとそのプロセスを終了させる
標的となっている脅威が広くまん延しているものであることを踏まえると、W32.Wergimog.B の作成者は他の脅威と一緒に駆除されてしまうのを回避しようとしているのかもしれません。悪質なネットワーク通信が増えると、脅威に感染していることをユーザーに気づかれてしまうからです。
ときとして、他の脅威の動作を停止しようとする機能を持ったマルウェアが確認されますが、一般的にはそういった機能はごく単純です。たとえば、特定のファイルパス、プロセス名、レジストリエントリをチェックするだけのものです。それに比べると、W32.Wergimog.B で使われている手法は万端と言えるでしょう。シグネチャはきわめて特殊な固有情報なので、ライバルの脅威を確実に停止させることができるからです。
しかも、元の W32.Wergimog にも .B 亜種にも UDP フラッド、SYN フラッド、Slowloris といったサービス拒否(DoS)攻撃の機能があります。Slowloris と呼ばれる DoS ツールは 2009 年にリリースされ、サーバーに大きな影響を及ぼしました。Slowloris の標的となるのは Apache 1.x と 2.x、そして一部の HTTP サーバーで、やや古くなった感はありますが依然として広く利用されています。W32.Wergimog の亜種も同じ手法を使っていますが、Slowloris ツールと W32.Wergimog の亜種の間にどのような関係があるのかはわかっていません。
これら 2 つの亜種が現れ始めたのは 2011 年の 4 月から 6 月の間であり、どちらも今年の 4 月まで活動が報告され続けていました。W32.Wergimog の亜種による感染を防ぐには、お使いのセキュリティ製品と OS を最新の状態に保ってください。シマンテックは、W32.Wergimog ワームの推移を引き続き監視していく予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。