「NgrBot」としても知られる「DORKBOT」は、新しい脅威ではありません。実際、2011年初めには、既に感染が確認されています。しかし2012年10月初旬、「DORKBOT」は、Skypeのスパムメッセージを介して拡散するとして話題となり、世界中での感染数は、17,500件にものぼると言われています。本記事では、「DORKBOT」について詳しく説明します。
■「DORKBOT」とは、複数の感染活動を行うワームである
「DORKBOT」は、通常、複数の方法で感染活動を行います。「Facebook」や「Twitter」などのソーシャル・ネットワーキング・サービス(SNS)、「Windows Live Messenger」や「mIRC」、また「Skype」などのインスタントメッセンジャ(IM)、そしてUSBドライブを利用します。
SNSやIMを介した感染活動の場合、「DORKBOT」は、まず、「http://api.wipmania.com/」へアクセスし、感染コンピュータのIPアドレスおよび位置情報を取得します。これにより、地域に応じた言語を選択し、IMやSNSを介して感染活動を行うために使われます。実際Skypeを利用した攻撃では、「WORM_DORKBOT.IF」や「WORM_DORKBOT.DN」などの「DORKBOT」の亜種が、言語を設定するために感染コンピュータのロケール情報を確認しています。
以下は、「Trendlabs(トレンドラボ)」の解析によって確認されたメッセージの一部です。
■「分散型サービス拒否(DDoS)攻撃」を実行する
「DORKBOT」は、「Internet Relay Chat(IRC)」のチャットルームへ接続し参加することによって感染コンピュータをコントロールする人物からコマンドを受信します。このような不正活動は、さまざまな「サービス拒否(DoS)」攻撃を実行するために、通常利用されます。そして「DORKBOT」は、SYNフラッド攻撃、UDPフラッド攻撃、Slowloris攻撃といった3種のDoS攻撃を開始することが可能になります。
■情報収集型不正プログラムである
「DORKBOT」は、もともと情報収集が目的とされていませんが、ログイン情報を収集する機能も備えています。「DORKBOT」は、人気のWebブラウザにおける複数のAPIをフックすることによって情報収集を行います。
「DORKBOT」が監視するサイトは、「Twitter」、「Facebook」、「Bebo」、「Friendster」、「Paypal」、「Netflix」および「Sendspace」であることが判っています。そして「DORKBOT」は、HTTPポストを介して上記のサイトへと送信される文字列、つまり、パスワードやユーザ名、EメールアドレスなどといったHTTP形式のファイル内に含まれる情報を確認します。
■ダウンローダとしての機能も備える不正プログラム
「DORKBOT」は、感染コンピュータ上に、感染コンピュータ上に他の不正プログラムをダウンロードするコマンドを実行します。こうしてダウンロードされるファイルには、自身のコピーの更新版や「身代金要求型不正プログラム(ランサムウェア)」などが含まれます。このダウンローダとしての役割を果たす機能を備えていることは、クリック詐欺やランサムウェアといった他の脅威との関連性を指摘する報告がされていることを裏付けています。
さらに、「DORKBOT」は、少なくとも1日に一度、自身のコピーの更新版をダウンロードをしますが、毎回異なるパケージとともにダウンロードされるため、この自身のコピーの更新版は、通常、検出されません。これは、感染コンピュータ上で検出を回避するためであると考えられます。
複数の危険な不正活動や、一般ユーザの典型的なオンライン活動に応じた感染活動を備えるため、「DORKBOT」は、言うまでもなくユーザが回避・防御すべき脅威でしょう。トレンドマイクロの製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」により、「DORKBOT」の脅威から守られています。またインターネットを利用するユーザは、トレンドマイクロ、無償のウイルス検出ソフト「Trend Micro HouseCall」を利用することで、この脅威を検出することができます。また、以下をご一読頂くことをお薦め致します。
http://about-threats.trendmicro.com/ebooks/socialmedia-101/
参考記事:
by Bernadette Irinco (Technical Communications)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)