Shadowserver.com の友人が、悪名高い Waledac ワームの亜種を発見しました。シマンテックは、この亜種を W32.Waledac.B として識別しています。この Waledac で用いられる手口は、初期の Waledac からあまり変わっていません。今でも、Waledac は自分自身や他の脅威を広めるためにホリデーグリーティングカードのスパムメールを利用します。これは、「新年の挨拶に便乗する W32.Waledac.B」というタイトルの記事でシマンテックのブログに掲載する予定です。
ホリデーグリーティングカードを装ったスパムメールに含まれる URL をクリックすると、以下のようなサイトにアクセスさせられます。
ここで、攻撃者は二重の攻撃を行います。まず、グリーティングカードを表示するためのソフトウェアがインストールされていないと偽る、ありふれたソーシャルエンジニアリング手法でペイロードをダウンロードするように誘い込みます。次に、ホストをそのダウンロードサイトから Web 悪用キットにリダイレクトします。このキットは、Web ブラウザの脆弱性を探して、ペイロードをひそかにインストールしようとします。ペイロードのインストールに成功すると、複数の脅威が被害者のシステムにダウンロードされてしまいます。以前の Waledac に関する記事にあるように、被害者のシステムにミスリーディングアプリケーションがインストールされます。今回の場合は「HDD Fix」がそうです。
先に述べたように、スパムメールの URL にアクセスすると、被害者のシステムにいくつかの異なる脅威がダウンロードされることが確認されています。この脅威は、いまのところ、Trojan.FakeAV、Downloader、Backdoor.Tidserv、Trojan.Zefarch、Trojan.Karagany などです。
現在の Waledac のファストフラックス(Fast flux)ボットネット内で確認された重複しない IP アドレスを 24 時間にわたって監視した結果、この段階でのボットの数は 1,000 個未満で、比較的小規模であると思われます。ただし、Waledac は以前から出足が遅く、スパムの活動を続けることによって時間の経過とともに増大するほか、以前のレベルに戻る可能性もあります。以下のヒートマップは、Waledac のファストフラックスボットネット内で確認された重複しない IP の現在の分布を示しています。
Waledac のファストフラックスの重複しない IP のヒートマップ:
シマンテックのウイルス対策製品は、このブログで取り上げたすべての脅威を検出します。また、侵入防止シグネチャ(IPS)「HTTP Java LaunchJNLP DocBase BO」でも、Web 悪用キットによるアクセスを阻止できます。ただし、シマンテックで常に推奨しているように、定義ファイルを最新の状態に保ち、新しい脅威から保護されるようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。