Storm Wormのボットネットが急拡大、「超大型」DDoSの可能性も

McAfeeによると、Storm Wormの活動が再び活発化。検出を免れる仕組みも次々に導入しているという。

» 2007年08月08日 08時10分 公開
[ITmedia]

 セキュリティ企業のMcAfeeは、マルウェアのStorm Wormこと「Nuwar」の活動が最近再び活発になっていると報告した。背後にいる組織は最大級のボットネットを形成しているとみられ、超大型のDDoS(分散サービス妨害)攻撃を仕掛ける可能性も指摘されている。

 McAfeeによると、ボットネットの急増は、ソーシャルエンジニアリングの手口を使ったeカードスパムが大量に出回った結果とみられる。また、最近出現したRARスパムにもNuwarが絡んでいるようだという(関連記事)。

 Nuwarの開発者はスパムの効率向上に力を入れているだけでなく、検出を免れる仕組みを次々に導入。最近の傾向として、既にスタートアップレジストリに登録されている実行可能ファイルに寄生する形で感染し、不正コードのためのローダーを挿入する手口が浮上している。

 Nuwarの最近の亜種もこの手口を採用し、TCP/IPドライバであるtcpip.sysに寄生する形で感染して、悪質デバイスドライバファイルのためのローダーコードを挿入する。この手口により、レジストリをチェックして怪しい実効可能ファイルがないかどうかを調べるツールがかわされてしまう可能性がある。

 このほかにもNuwarは、「サーバベースのポリモーフィズム」、各種MMX命令の利用、偽のAPI関数呼び出しなど、検出を免れるためのさまざまな手口を導入しているという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ