韓国の多数の Web サイトに対して最近行われた分散型サービス拒否(DDoS)攻撃が、ここ 1 週間ほどニュースになっています。これらの攻撃を実行した脅威が Trojan.Koredos です。 今回の攻撃は、2009 年 7 月 4 日に米国政府と韓国政府の他、金融やメディア関連の Web サイトに対して行われた別の攻撃を思い出させるものです。現在のところ、攻撃はなくなり、影響を受けたサイトにも問題なくアクセスできます。しかし、Trojan.Koredos の感染を除去できていないコンピュータでは、初期の感染からしばらく経過した後に驚くことが待っています。それについてこのブログで詳しく説明します。 今回のような攻撃には、一般にコマンド& コントロール(C&C)サーバーが関係し、感染したコンピュータにコマンドを送信することにより、計画的な調整攻撃を行います。今回の場合、コマンドは C&C から送信されるのではありません。C&C は脅威の内部に隠されています。 この攻撃には多数のコンポーネントが関与しており、このことだけでも、ある程度高度なものであることがわかります。これらのファイルのうち、破壊的な振る舞いはs[ランダムな文字]svc.dll ファイルによって行われます。この .dll にはいくつかの変種が見られますが、最終的な結果は同じです。感染したコンピュータのマスターブートレコード(MBR)が破壊されるのです。 一部の変種は、感染したコンピュータの固定ドライブをスキャンして、主に韓国内で使用されるソフトウェアで使われているさまざまな拡張子(.alz、.gul、.hwp など)を持つファイルを探します。このことは、この脅威が韓国内のコンピュータを攻撃対象にしていることを強く示唆しています。
図 1 - Trojan.Koredos の感染を示すヒートマップ
図 2 - 脅威が拡張子を検索している様子 この脅威は、該当するファイルをすべてゼロで上書きします。さらに、ファイルのサイズが 10,485,760 バイト以上の場合にファイルを完全に削除します。この条件を満たさないファイルについては、元のファイルの名前を使って .cab ファイルを作成してから元のファイルを削除します。他の場合であれば、さまざまな方法を使って、削除されたファイルを復元できますが、この脅威ではファイルがゼロで上書きされるため、元のファイルを復元することができません。 この脅威は、次の条件のどれか 1 つが満たされると、すべてのドライブの MBR を破壊します。
つまり、感染を除去しなければ、感染したコンピュータの寿命は 10 日以内に尽きてしまいます。シマンテックではこの脅威に対する保護を提供しています。ウイルス定義を常に最新の状態にして、貴重なデータを破壊的な脅威から安全に守ってください。
このブログに対する末長政樹氏の貢献に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。