W32.Virut というファイルインフェクタウイルスのボットネットが復活し、新しいペイロードを拡散していることは、先日のブログでお伝えしたとおりです。その中でシマンテックは、Virut ボットネットでは、たった 1 日でも重複を数えずに約 308,000 台の Virut クライアントが活動していると推測しました。また、Virut で拡散が確認されているペイロードは、広告や詐欺、その他の悪質な目的でスパムメールを送信する機能を持っているという点も指摘しています。
最近の Virut サンプルを詳しく解析していくうちに、Waledac(別名 Kelihos)という別のボットネットの亜種をダウンロードするウイルスが確認されました。シマンテックはこれを W32.Waledac.D として検出します。Waledac は、シマンテックが長年にわたって監視を続けている脅威のグループで、これまでにも多くのブログやホワイトペーパーで取り上げています。その間セキュリティコミュニティは、Waledac ボットネットを解体し、その活動を終わらせようと試みてきました。しかし、そのたびに Waledac ボットネットを操る犯罪グループは壊滅状態から復活し、攻撃を再開してスパムの拡散などの悪質な行為を繰り返しています。
過去 1 カ月にわたるシマンテックの遠隔測定データ(図 1)でわかるとおり、W32.Waledac.D に感染したコンピュータの数は増え続けており、現在は米国に最も多くの感染が集中しています。
図 1. 最近の遠隔測定に基づく、全世界での Waledac.D の検出状況
感染したコンピュータは、コマンドサーバーから受信したリストに載っているサーバーを介してスパムメールを送信します。制御下の環境でシマンテックが解析したところ、感染したコンピュータは 1 日当たり約 2,000 通のメールを送信することが確認されました。W32.Virut に感染したと推測される 308,000 台のコンピュータのうち、控え目に見て 4 分の 1 が W32.Waledac.D をダウンロードするとしても、それらのコンピュータから数十億のスパムメールが送信されている可能性があります。以下の表に、この攻撃で使われていると推測されるメール数の基本的な計算式をまとめましたが、総計は 1 日当たり 12 億から 36 億にも達します。
表 1. 今回の攻撃で送信されると推測されるメール数
生成されるメールでは、16 種類の件名と 13 種類の本文が使われています。
W32.Waledac.D の攻撃で使われているスパムメールのスクリーンショットのサンプルを以下に示します(図 2)。カナダのオンライン医薬品スパムサイトにリンクするメールや、偽の「増強剤」を宣伝するメールが確認されています。
図 2. W32.Waledac.D の攻撃で使われているスパムメールのスクリーンショット
Virut と Waledac が同じ 1 台のコンピュータに混在しているのは、両方のマルウェアグループが連携プログラムを使って脅威を拡散しており、すでにどちらかに感染しているコンピュータ上でも脅威をリンクして共存できることを示す新たな事例です。
感染した 1 台のコンピュータを最近シマンテックで解析した結果、それぞれのボットから送信できるスパムの数量は膨大でした。感染した複数のコンピュータを組み合わせれば、1 日当たり数十億のスパムメッセージが W32.Waledac.D によって送信される恐れがあります。シマンテックセキュリティレスポンスは、今後もこれらの脅威の監視と情報更新を続け、新しい亜種の出現に応じて検出定義を追加していく予定です。ボットネット感染に対する万全の備えとして、シマンテックの最新技術(英語)をお使いいただくことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。