　CAの説明によると、同社が「Glieder」と呼ぶBagleワームダウンローダーの亜種は、より凶悪なマルウェアをコンピュータにインストールする「足がかり」の役割を果たす。それに感染したコンピュータはインストールされているアンチウイルスソフトやファイアウォールソフトを無効にできるようになり、攻撃者はこのマシンをリモートから操作して、大規模サイバー攻撃に利用できるゾンビに変えられるという。

　「これはかなり組織的で、非常に洗練されている」とCAの不正コンテンツ研究ディレクター、ロジャー・トンプソン氏。

　CAは、この日Gliederの8種類の亜種が次々に出現し、「犠牲者を最大に増やすそのスピードと拡散力でインターネットを圧倒している」ことに気づいたという。「軽量のマルウェアでできるだけ迅速に、できるだけ多くの犠牲者に到達していることがポイントだ」

　Gliederダウンローダーは、感染したコンピュータをWebサイトに誘導し、トロイの木馬「Fantibag」をダウンロードさせる。Fantibagは、感染したコンピュータのネットワーキング機能が、アンチウイルスベンダーのアップデートツールやMicrosoftのアップデートサイトと通信できないようにする。それからコンピュータは、「Mitglieder」というトロイの木馬をダウンロードする。Mitgliederはファイアウォールとアンチウイルスソフトを無効にしてバックドアを開き、ハッカーによるリモートコントロールを可能にする。

　「これはコンピュータをゾンビに変える」とトンプソン氏はこの攻撃について語った。「ボットネットを構築している人物が関わっている。その目的は金だ」

　アンチウイルスベンダーがプログラムをアップデートして、この最新版Gliederを検出できるようにすれば、攻撃者はすぐにダウンローダーを修正し、軍拡競争に発展するだろうと同氏は付け加えた。3つのマルウェアを利用してコンピュータを攻撃するこの手口は、新たな連携のレベルを示していると同氏。ゾンビ化したコンピュータを販売するブラックマーケットが、この種のゾンビ攻撃を活発化させており、犯罪者はスパムの中継点や、なりすましに使う個人情報の入手元としてこれらのゾンビマシンに金を払っている。

　ほかのインターネットセキュリティ専門家は、Glieder攻撃にCAほど強い印象を受けていない。GliederとFantibagを組み合わせるやり方は新しいかもしれないが、Gliederと既存のBagleの亜種は、マシンを乗っ取るソフトを密かにインストールするダウンローダープログラムとして働くよう設計されていると、iDefenseの不正コード担当ディレクター、ケン・ダンハム氏は指摘する。

　CAは、この新たな攻撃は複数の犯罪者によるものかもしれないと警告している。「これらが組織によって行われていることを示唆する証拠はたくさんある」

　CAと同様に、McAfeeの緊急ウイルス対策チームの研究者ジミー・クオ氏は、ゾンビマシンのブラックマーケットが関与していると考えている。McAfeeは、犯罪者がハッカーに金を払って一連のマルウェア攻撃を行わせている証拠を見つけたと同氏は言う。「支払額は500ドルから5000ドル程度だ」

　クオ氏は、CAが今週報告したのと同種の攻撃には気づかなかったが、ダウンローダー攻撃は一般的になりつつあり、そうした攻撃のほとんどが犯罪活動に関連していると指摘する。場合によっては、ゾンビマシンが企業ネットワークを電子メールであふれさせる攻撃に使われることもあるという。「すべてのマルウェアのうち90％代後半が、金もうけのための策謀に関連しているという段階にまで来たのだと思う」

　ダンハム氏は、こうした攻撃のほとんどは、組織的な犯罪シンジケートではなく、三流の犯罪者や結束の緩いハッキンググループが仕掛けていると示唆した。

　同氏はダウンローダータイプの攻撃について、「手口は次第に高度化しているが、大きく進歩しているわけではない」と語る。「これらの攻撃にはあまり印象はない。今年はダウンローダーよりもスパイウェアの方が高度化している」

　トンプソン氏とダンハム氏はコンピュータユーザーに対し、電子メールで受け取った実行可能ファイルを開かないようアドバイスしている。ほとんどの場合、企業ネットワークのセキュリティポリシーでは実行可能ファイルが付いた電子メールの配信を禁じているが、ほとんどのPCにはそうした保護策は講じられていないとトンプソン氏は語っている。