進化するBagleワーム、rootkitも搭載

[Ryan Naraine，eWEEK]

　悪意を持ったハッカーが、Bagleワームの最新亜種にrootkit機能を組み込み、ただでさえ有害なワームに危険な隠密機能を新たに加えた。

　フィンランドのセキュリティ企業F-Secureのウイルス研究者によると、最新亜種のBagle.GEはカーネルモードドライバをロードし、プロセスやレジストリキー、ほかのBagle関連のマルウェアをセキュリティスキャナから隠す。

　このように既存のウイルスがrootkitを取り入れたことは、攻撃者がウイルス対策ソフトを回避し、検出されるのを避けて感染マシンに居座るために積極的な手段に出ていることを示している。

　rootkitは通常、攻撃者がWindowsシステムにバックドアを仕込んだり、ネットワーク上のほかのシステムの情報を収集したり、システムが感染しているという事実を隠すために使う。

　Bagle.GE rootkitの場合、rootkitはうまくプロセス、ファイル、ディレクトリ、レジストリキー、値を隠しており、また特定のセキュリティ関連プロセスやカーネルモードモジュールが動作するのを妨げるコードを含んでいるとF-Secureのヤルッコ・トゥルクレーネン氏は説明する。

　またこのrootkitは、セキュリティソフトを無効にし、セキュリティ関連ファイルが開かれたときに削除するコマンドも含む。

　Bagleワームは2004年に単純な電子メール型ワームとして登場したが、時間の経過とともに、PCユーザーの間で最も活発な脅威の1つに拡大し、進化した。

　セキュリティ研究者らの推定では、多数のBagleの亜種は、ほかのどのウイルス群よりも多くのコンピュータに感染したという。

　Bagle作者らはこのワームを使ってボットネットを構築し、スパム配信や分散型サービス拒否（DoS）攻撃に利用してきた。

　さまざまな亜種が感染マシンの複雑なネットワークを維持しており、これらは通常、さらに新しい亜種が感染を広げ、検出を避けるのを手助けするのに使われている。

　スペインのインターネットセキュリティ企業Panda Softwareは、rootkit機能を持ったBagleの亜種を少なくとも3種類発見したと報告し、近い将来新しい「見本」が登場する可能性が「かなり高い」と警告している。

　同社の研究部門PandaLabsのディレクター、ルイス・コロンズ氏は、rootkit機能は既存のワームやウイルスのコードに簡単に組み込めると話す。

　「rootkitの作成と販売が現実的なビジネスモデルになった。従来のセキュリティソリューションをすり抜ける能力、システム内に隠れてあらゆる不正な行為を行う多才さから、rootkitは大きな利益を得ようとするサイバー犯罪者にぴったりのツールになった」（同氏）

　F-Secureはまた、Mydoomのコードを基盤にした新しいワーム「Gurong.A」にrootkitが含まれている証拠を見つけた。

　MydoomもBagleも、マルウェア研究の世界では「大物」と考えられている。

　Bagle rootkitと同様に、Gurong.Aもアクティブになっているときは常にプロセス、ファイル、起動ポイントを隠す。またカーネルモードプロセス構造を改変して、自らが指定したあらゆるプロセスを隠す。

　Gurong.Aは、幅広いソーシャルエンジニアリングの手口を使って電子メールを介して広がり、P2Pアプリケーション「Kazaa」の共有フォルダを介しても拡散する。

　Microsoftのマルウェア対策チームの統計によると、Windows XP SP2システムから削除された不正なコードの20％以上がrootkitだったという。

　Microsoftの不正ソフト削除ツールが発見したrootkitには、スパイウェア作者の間でよく使われるオープンソースrootkit「FU」が含まれている。

　FUに加えて、WinNT/IsproファミリーのカーネルモードrootkitもWindowsマシンで発見され、削除されている。

原文へのリンク