• オンライン購入
  1. /
  2. セキュリティレスポンス/
  3. W32.Qakbot
  4. W32.Qakbot
  • ブックマーク

W32.Qakbot

危険度2: 低

発見日:
2009 年 5 月 7 日
更新日:
2013 年 7 月 11 日 8:17:50 AM
別名:
BKDR_QAKBOT.AF [Trend], Win32/Qakbot [Computer Associates], W32/QakBot [Sophos], W32/Akbot [McAfee], Trojan-PSW.Win32.Qbot.mk [Kaspersky]
種別:
Worm
感染サイズ:
不定
影響を受けるシステム:
Windows 2000, Windows 7, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP
CVE 識別番号:
CVE-2007-4673, CVE-2007-0015
W32.Qakbot は、ネットワーク共有とリムーバブルドライブを介して拡散するワームです。追加のファイルをダウンロードし、情報を盗み取り、侵入先のコンピュータのバックドアを開きます。また、このワームは自分の存在を隠すためのルートキット機能を備えています。


感染

W32.Qakbot は、ユーザーが特定の Web ページを訪問したときに、複数の脆弱性を悪用することによって拡散します。これらのリモートロケーションでホストされるエクスプロイトコードは、この脅威を侵入先のコンピュータにダウンロードします。感染の多くは、悪質なリンクをユーザーが何気なくクリックすることにより発生します。Web を利用して拡散する脅威が増加するにつれ、ワンクリックの重要性がより明らかになっていきます (英語資料「Every Click Matters」)。

また、このワームは、リモートの攻撃者の命令に従って共有フォルダに自分自身をコピーすることにより、ネットワーク共有を介して拡散します。さらに、自分自身をリムーバブルドライブにコピーします。


機能
W32.Qakbot は、複数の機能を備えていますが、最終的な目標は情報を盗み取ることです。ID の窃盗は、サイバー犯罪の世界ではビッグビジネスであり、脅威が盗み取るデータが多ければ多いほど、より大きな利益を生み出すことができます。W32.Qakbot は、次の機密情報を含む、多種多様な情報を収集することができます。
  • Flash cookie を含む認証 cookie
  • DNS、IP、ホスト名の詳細
  • オペレーティングシステムとシステム情報
  • 地理的情報とブラウザのバージョン情報
  • ログイン情報を含むキーストローク
  • FTP、IRC、POP3 電子メール、および IMAP 電子メールのログイン詳細情報
  • Outlook のアカウント情報
  • システム証明書の秘密鍵
  • 特定の Web サイトのログイン資格情報
  • 訪問した URL

サイバー犯罪はビッグビジネスであり、現実の犯罪です。米国財務省の報告によると、サイバー犯罪は、違法薬物取引以上の犯罪資金を生み出し、5 人に 1 人が被害にあっています。サイバー犯罪者は、ほとんど労力を使うことなく、計画を立て、ID を盗み取り、売りさばくことで、何百万ドルともいわれる収益を上げています。「Introduction to the Black Market」(英語) などの情報でブラックマーケットについて理解を深めることにより、一般のインターネットユーザーもサイバー犯罪の狡猾な本質を理解することができます。

クレジットカードを使いながら走り回る未開人と、「財布には何が入っているの?」というタグラインを採用した興味深いクレジットカードのテレビ広告があります。サイバー犯罪者たちが「コンピュータには何が入っているんだろう?」と自問する声が聞こえてきそうです。コンピュータを所有しているということは、危険にさらされていることを意味します (英語資料「If you have a computer, you're at risk」)。自分の危険度を評価することをお勧めします。

ログイン詳細情報、特定の Web サイトからの資格情報、パスワード、口座情報、およびその他の個人の身分証明情報が盗まれると、ブラックマーケットで売られる可能性があります。最終的に、なりすまし犯罪につながります。もっとも頻繁に使用されるテクニックであるキーロギング(キー入力の記録)は、可能な限り大量のデータを提供しようと試みます。リモートの攻撃者の手に入るユーザーに関する詳細情報が多ければ多いほど、ブラックマーケットのキーロギング収益も増大します (英語資料「Black Market Keylogging」)。


ホワイトペーパー: W32.Qakbot in Detail
シマンテックは、ワームの内部構造を明らかにするための調査に関するホワイトペーパーを公開しました。このワームに関する詳細については、「W32.Qakbot in Detail」(英語) のコピーをダウンロードしてください。



地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。





感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。




シマンテックの保護対策サマリー
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。


ウイルス対策シグネチャ

W32.Qakbot


ウイルス対策 (ヒューリスティック/汎用)



ブラウザ保護

シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。


侵入防止システム (英語)


Symantec Endpoint Protection - アプリケーションとデバイス制御
シマンテックセキュリティレスポンスは、この脅威に関連するアクティビティからコンピュータを保護するために Symantec Endpoint Protection のアプリケーションとデバイス制御 (ADC) ポリシーを開発しました。アプリケーションとデバイス制御ポリシーを利用すると、コンピュータに対する脅威の感染リスクを軽減し、不用意なデータの削除を回避し、コンピュータ上で実行するプログラムを制限することができます。

このアプリケーションとデバイス制御ポリシーは、あるコンピュータから他のコンピュータに拡散する能力を低下させたり排除することができるため、この脅威のアウトブレーク発生時の対応に利用することができます。ネットワーク内でこの脅威がアウトブレークした場合、このポリシーのリンクを右クリックして、ブラウザの [対象をファイルに保存] オプションを選択し、「W32.Qakbot.dat」としてファイルを保存することで、ポリシーをダウンロードしてください。

ポリシーを使用するには、この文書 (英語) を参照して、Symantec Endpoint Protection Manager に .dat ファイルをインポートしてください。クライアントコンピュータに配布する場合は、このポリシーによる通常のネットワークおよびコンピュータ使用への影響を確認するために、最初にテスト (ログのみ) モードを使用することを推奨します。一定期間ポリシーを観察し、環境への影響を確認した後、実働モードでポリシーを配備し、アクティブ保護を有効にします。

アプリケーションとデバイス制御ポリシー、および組織内での配備方法に関する詳細については、「Symantec Endpoint Protection および Symantec Network Access Control 管理者ガイド」(PDF) を参照してください。

注意: シマンテックセキュリティレスポンスで開発されたアプリケーションとデバイス制御ポリシーは、脅威のアウトブレークに対して使用することをお勧めします。このような状況では役立ちますが、制約的な性質上、通常業務に影響を及ぼす可能性があります。

ウイルス対策日

  • Rapid Release 初回バージョン2009 年 5 月 7 日 リビジョン001
  • Rapid Release 最新バージョン2014 年 11 月 17 日 リビジョン008
  • Daily Certified 初回バージョン2009 年 5 月 7 日 リビジョン003
  • Daily Certified 最新バージョン2014 年 11 月 18 日 リビジョン002
  • Weekly Certified 初回リリース日2009 年 5 月 13 日
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

危険性の評価

被害状況

  • 被害レベル:Medium
  • 感染台数:1000+
  • 感染報告数:10+
  • 地域危険度:Medium
  • 対処レベル:Moderate
  • 駆除:Moderate

ダメージ

  • ダメージレベル:High
  • 発病症状:コンピュータのバックドアを開く
    コンピュータにファイルをダウンロードする
  • ファイル改ざん:特定のファイルやフォルダへのアクセス許可を改ざんする
  • 秘密情報の漏洩:コンピュータから情報を盗み取る

感染力

  • 感染力レベル:Medium
  • 共有ドライブ:ネットワーク共有を介して拡散する
記述:Angela Thigpen and Eric Chien
危険性の評価| テクニカルノート| 駆除方法
スパムレポート