Waledac ??: Trojan.Rloader.B
W32.Virut に感染したシステムで W32.Waledac.D(Kelihos)のダウンロードが確認されたことを、少し前にこのブログでもご報告しました。シマンテックは Waledac の進化を何年も追い続けており、過去に実施された停止の試みに対してこのボットネットが非常に強い回復力を持っていることを確認しています。Waledac は従来、1 日に最大で 2000 通もの悪質な電子メールを送信するスパムボットネットとして知られてきました。
図 1. W32.Waledac.D のスパム
過去 2 カ月間で、Waledac の感染数はますます増えており、その感染の大部分は米国が起源であることが確認されています。
図 2. W32.Waledac.D に感染したコンピュータ数の多い上位 10 カ国
W32.Waledac.D に感染したコンピュータは、別のマルウェアも拡散していました。これは、当初 Backdoor.Tidserv として検出されていましたが、シマンテックの解析結果に基づいて、Trojan.Rloader の新しい亜種、Trojan.Rloader.B であることが確認されています。他の亜種と同様、Trojan.Rloader.B の主要機能もクリック詐欺が中心です。
図 3. Trojan.Rloader.B の攻撃手順
Trojan.Rloader.B は、被害者のコンピュータ上で最初に実行されたときに物理マシン上で実行されているかどうかを確認し、仮想マシン内で実行されていることがわかると自身を終了します。仮想マシンでは、ウイルス対策ソフトウェアやマルウェアの解析に利用できるツールが実行されていることがよくあるからです。次に、Trojan.Rloader.B は侵入先のホストに関する情報を収集し、コマンド & コントロールサーバーに送信して、侵入先のコンピュータを登録します。また、この段階で Windows のホストファイルを改ざんして、多くの有名な検索エンジンが、検索結果に埋め込まれたポップアップ広告を表示する悪質な IP アドレスにリダイレクトされるようにします。
さらに、Trojan.Rloader.B は Mozilla Firefox と Internet Explorer の両方を標的として、検索要求が http://findgala.com にリダイレクトされるようにブラウザの設定を変更します。このとき同時に、感染したコンピュータ上では広告も表示されます。
シマンテックが調査を進める中で、2 つ目のクリック詐欺コンポーネントを投下する Trojan.Rloader.B の存在が判明しました。以前のブログで説明したように、以前は Trojan.Spachanel として検出されていたコンポーネントです。Trojan.Spachanel は実行されると、侵入先のコンピュータでブラウザにポップアップ広告を読み込ませる JavaScript をインジェクトします。
図 4. ポップアップ広告の例
シマンテックは、Rloader の新しい亜種を Trojan.Rloader.B として検出する定義を追加しました。Spachanel のクリック詐欺モジュールを Trojan.Spachanel として検出する定義も更新しています。今後も Waledac ボットネットの活動の監視を続けつつ、適切な保護対策を提供していく予定です。ボットネット感染に対する万全の備えとして、シマンテックの最新技術(英語)をお使いいただくことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。