2013年1月17日木曜日

南米で大流行しているパソコンウイルス「Dorkbot」はアジアでも猛威を奮っている

  • このエントリーをはてなブックマークに追加
Dorkbot(Win32/Dorkbot)という名前で知られている、情報を窃盗し、ボットネットを構築するワームは、南米内で最も活発な脅威の一つです。

私たちはこのワームを調査し始めてから、別の配布活動を知ることができました。その究極の目的は、その犠牲者のログイン名やパスワードなどの機密情報を盗むことです。これらの活動のほとんどは、同じ構造を持っていますが、ターゲットの国が異なっており、さまざまなテクニックを使用しています。

ここ数週間、私たちは、メキシコ、チリ、ペルーで新しいDorkbotの流行を見てきましたので、特に南米での検出の統計に少し注意を向けることに決めました。 ESETのウィルスレーダー統計の先月の結果でも、地域ごとの検出率にあまり変化がなかったことを示しています。Dorkbotの感染率は一定のようですし、南米が最も影響を受けた地域であるようです。

ESETセキュリティブログ:Dorkbotの分布地図


このワームは2011年末でピークに達しており、先述の結果は、それ以降ほぼ一定です。私たちがDorkbotのタイムラインを確認してみても、ほぼ一年前と同様の検出レベルを示しているのは明らかです。Dorkbotは1年以上もの間、トップ10の脅威となりましたし、今でもそうです。

複数の理由により、このワームは、ソーシャルネットワークのホームバンキングのデータにアクセスするための資格情報を含む個人情報を盗むために、ユーザのコンピュータに感染し、ユーザの活動を乗っ取ることができます。

ESETセキュリティブログ:Dorkbot感染の時系列分布


2012年の統計では、Dorkbotの検出率は南米で54%、アジアで25%、ヨーロッパが3番目で18%、オセアニアとアフリカ、北アメリカは2%未満でした。拡散のためにDorkbotで用いられている技術は、地域に応じて異なりますが、主に感染したWebページ、リムーバブルメディア、またはソーシャルエンジニアリングを介して拡散しています。

最新の亜種の1つは、既にWindows Liveメッセンジャー、Twitterのプライベートメッセージ、Facebookチャットでやったのと同じ方法で、拡散させるための媒体としてSkypeを使用するように設計されたモジュールが含まれていました。10月の初めに、そのニュースが出てきたとき、検出率は一年前よりそれほど変わりませんでした(少なくとも激的には)。

先述のように、Dorkbotは検出レベルの面で最も影響を受けたメキシコ、ペルー、コロンビアと南米のすべての国を経由して広く拡散されています。配布活動のほとんどは、ブランドの新しい携帯電話や航空券の割引の情報に関する偽のeメールが使われています。

これらの種類の攻撃にまつわり、サイバー犯罪者は、C&C(コマンドと制御)またはフィッシングページのために偽のサーバをセットアップすることを好んでいます。DorkbotはIRCプロトコルやSSLを使用して管理サーバと通信していますが、攻撃者が暗号化を使用せず、すべてのネットワークトラフィックを、スニファを使用してキャプチャするというケースもあります。

配布活動は、一般的に短く、あるサーバから別のサーバへの切り替えも、非常に短い間隔です。数週間前にメキシコで拡散された活動の1つでは、攻撃者がすべてのマルウェアのダウンロードを記録していたため、それがどの程度ダウンロードされ、感染された可能性があるかを正確に定量化することが可能でした。

ESETセキュリティブログ:Dorkbot感染ユーザによるマルウェアダウンロード数


この活動は、10月の最後の1週間に検出されました。サーバに格納されたデータによると、1200以上のダウンロードのうち、メキシコのIPアドレスからのものが800ほどありました。 (MD5:ece6f118468dfa974eefcfb816390567)

コンピュータがサーバに接続し、感染してしまうと、それ以降、コマンドは受信されず、マルウェアのアップデートも送信されませんでした。すべての感染したコンピュータは、自動で情報を転送し、攻撃者はIRCサーバを介してキャプチャします。Dorkbotは、40以上のWebサイトのログイン情報や、キャプチャしているPOP3(eメール)やFTP(ファイル転送)の情報を盗むように設計されています。

南米で検出されたアクティブな活動の大半は、被害者からホームバンキングの認証情報を盗みたいサイバー犯罪者によって行われています。この目的を達成するために、ターゲットのURLとフィッシングサーバのリストが、C&Cに接続するたびにボットに送信されます。

ESETセキュリティブログ:IRCを使ったフィッシング詐欺のソース例


このリストには、チリの銀行からの6つのURLが含まれていて、ユーザが自分のアカウントにアクセスしようとするとリダイレクトされます。 (MD5:f63615c2f8c4b4ed6f8a5ca4cd9b5394 8c0b4b9f80a3c716394371cdf91603ca)

Dorkbotの活動は依然として南米で頻繁で、メキシコ、ペルー、チリ、グアテマラ、エクアドルなどの国では、ドークボットは最も検出された脅威です。このワームは、ユーザを欺き、そのPCを侵害するために、リムーバブルデバイス、ソーシャルネットワークやソーシャルエンジニアリングを使って感染したWebページを介して拡散しています。

このワームの被害にあったユーザのために、ESETは、あなたのコンピュータからこの脅威を削除するWin32/Dorkbot.Bクリーナーを作成し、公開しています。コンピュータがこのワームに感染している場合は、すべてのパスワードを変更することを忘れないでください。


出典:blog.eset.com
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る