ウイルスのモジュール化も作業を複雑にしている要因の1つだ。従来は単純に検体をコードベースで解析すれば定義ファイルを作れたが、モジュール化により接続先のURLやIPアドレスをたどり、ダウンローダーの先の検体をさらに入手するといった手間が増えている。
ボットであれば、その動作を調べるため、ハッカーがどのような命令を送ってくるか監視を行う必要もある。ボットをそのまま利用しては、ほかのボットと同様攻撃に参加してしまうことになるため、シミュレートを作成し、コマンドが送られてくるのを監視する。
解析を行っていたチーフリサーチャーのエリック・チェン氏によると、MS06-040の脆弱性を悪用して感染を広めたIRCチャネルの「Worgbot」の例では、「スパムを送信するためのスパムプロキシーが送られてきた」という。
「Worgbotが使えるコマンドを調べれば、その性能は把握できる。しかし、監視しなければ、どのような使い方がされるのかは分からない」。
Worgbotのケースでは、1台の感染PCが1時間で約6000通のスパムメールを送信することができたという。しかも「医薬や住宅リースなど、このボットには多くの顧客がいることも分かった」。
定義ファイルを作成するウイルス解析のエンジニアは、1日で約20〜30件の不審なファイルを調査する。防御の方法を調べるための分析から始まり、数分から10分程度で終える。その後、システムへの影響度などの詳細な分析を20分、長ければ2〜3日掛けることもあるという。
解析エンジニアが作成した定義ファイルは、誤検知なく正常に動作するかをQAチームがテストし、ラピッドリリースや、1日1回のライブアップデート/インテリジェントアップデートとしてリリースされていく。
ただ、スピア型の攻撃は、悪用される脆弱性は異なってもトロイの木馬やバックドア自体には既存のものが利用されることが多いという。「十分に汎用性を高めた定義ファイルを作成することで、多くをカバーできる」とホーガン氏。
スピア型の脅威は世界のどこで起こってもおかしくないが、攻撃にさらされる人の数は少ないため、カテゴリー2にレベル分類されてしまうという実際との隔たりもある。「長期的に見たインパクトはスピア型の方が大きいかもしれない」(チーフリサーチャーのチェン氏)。
現在では、ユーザーに危険度を知らせるカテゴリーの分類方法について社内で見直す議論も行われ始めているという。
Copyright © ITmedia, Inc. All Rights Reserved.