依然として世界中で確認されているボットネット「Andromeda」。このボットネットは、2011年に初めて報告され、「Blackhole Exploit kit(BHEK)」関連のスパムメールなどが発端となり、キーロガーやSOCKSプロキシ、ルートキットなどを拡散する際に利用されています。トレンドマイクロは、2013年3月上旬、新たな改良が加えられた Andromeda を再び確認。そして今回、このボットネットに大幅な改良が加えられる投稿をアンダーグラウンドフォーラムで確認しました。
この「Andromeda改良プロジェクト」は、当初、失敗に終わるところでした。しかしボットネットの作成者は、公式には引退していませんが、このプロジェクトを引き継ぐ人物を見つけたようです。以下は、このボットネット作成者による投稿で、要約すると、「このソフトウェアを引き継ぐ買い手が現れなければサービスは停止される」と説明しています。
 |
|
|
ところがトレンドマイクロは、2013年7月、ボットネット「Andromeda」が現在改良中あることをを確認しました。この最新の内容については、つい最近、投稿を通じて公表され、 Andromeda のコードに大量の改変が加えられると説明しています。彼らは、最新版の開発に集中するため、プラグインの販売を停止しました。今回の主な更新内容についての投稿(ロシア語)を簡単に翻訳したものは、以下のとおりとなります。
| 英語訳 | 日本語訳 |
|
Attention! Currently suspended sales of all plug-ins. The project is undergoing a global modernization. In the near future will happen a few important but not visible changes: |
注意! 現在すべてのプラグインの販売を停止しています。 このプロジェクトは、 Andromeda をより世界的、近代的にするものです。近い将来、目には見えないいくつかの重要な変更がなされます。 |
| 1. Will update the admin principal. Externally, will remain the same, but the principle of storage change that will reduce the load. | 1. 主に管理権限について更新します。外部的には変わりませんが、主に記憶領域を変更し、負荷を下げます。 |
| 2. All plugins will undergo fundamental changes both in format and structure. Those who wrote plugins for andromeda, need to ping waahoo for further informations. | 2. すべてのプラグインに変更が加えられ、形式と構造の両方が変更対象となります。 Andromeda のプラグインを制作する方は、「waahoo」へ「Ping」コマンドを送信して詳細を確認して下さい。 |
| 3. why such a change? First of all – it fixes bugs and flaws found, secondly because of the bugs found that have to completely change the approach to plug-ins that have this pain in the ass and should not not pop up in future. | 3. これらの変更を加えた理由は、まず第1に、発見された不具合やバグの修正をするためです。そして第2に、プラグイン導入方法を完全に変更しなければならないという悩ましいバグの修正が目的です。以後、ポップアップをしなくなります。 |
| 4. I’m not going on vacation for a long time. On the work of Andromeda or its purchases – please contact the author of the project | 4. しばらくの間、休暇は取りません。 Andromeda の作業、または購入に関しては、本計画の作成者に連絡を取ってください。 |
人気のプラグインである“Rootkit” と “socks5” は、現在無料で配布されています。以前は、 “Rootkit” が 300ドル、 “socks5” と “BackConnect” のセットが 1,000ドルで販売されていました。“BackConnect” は、感染PCを SOCKS5プロキシへと変更するプラグインです。これにより犯罪者は、感染PCの IPアドレスとランダムなポートを経由して、その感染PC の操作が可能となります。
2013年7月31日現在、最新版がいつリリースされるかの正確な日にちはまだ分かっていません。しかし一旦実装されれば、この Andromeda の最新版は、以前のバージョンよりさらに安定して強力なものになり、より多くのプラグインと共にリリースされるものと予想されます。
参考記事:
by Trend Micro Senior Threat Researchers
翻訳:木内 牧(Core Technology Marketing, TrendLabs)