「PALEVO」がもたらす情報収集やDDoS攻撃などの脅威
投稿日: 2011年5月19日
「PALEVO」は、どのようなワームとして認識されていますか?
「PALEVO」ファミリのワームは、2009年第2四半期あたりからその存在は確認されていましたが、2010年2月、ボットネット「Mariposa(スペイン語で蝶の意味)」に関わったとされる人物の逮捕をきっかけとして、このボットネット形成に関連する「PALEVO」ファミリのワームも、メディアで大きく取り上げられることとなりました。当時の報道によると、このボットネットMariposaは、世界中で数百万もの企業を標的としており、その中には、「フォーチュン1000」に名を連ねる大企業も含まれていたといいます。
「WORM_PALEVO」として検出されるこのワームは、いずれの亜種も、ボットネットMariposaを形成するコンポーネントとして機能します。これら「PALEVO」ファミリのワームが行なう不正活動は、基本的には「他の不正プログラムのダウンロード」ですが、むろん「情報収集活動」も行なう亜種も存在し、感染したコンピュータからユーザのログイン情報、その他のオンライン銀行関連の情報、さらには企業や個人に関連する機密情報などを収集します。また、感染したコンピュータを踏み台にして多数のコンピュータに大量のパケットを送信するという「Distributed Denial of Service 攻撃(DDoS攻撃)」を実行する場合もあります。
また、これら「PALEVO」ファミリのワームは、「ボット用ツールキット」としてもよく利用されます。このワームの各亜種が備えているさまざまな機能がモジュール化され、アンダーグラウンド市場で「商品」として販売されるからです。たとえば、以下のような機能に、それぞれに値段が付けられて販売されています。
参照:http://malwareview.com/index.php?topic=651.0
商品 |
価格 (ユーロ) |
フラッド攻撃を行う機能 |
100 |
「Slowloris」攻撃を行う機能 |
200 |
USBを介した感染活動を行う機能 |
100 |
インスタントメッセンジャ「MSNメッセンジャー」を介した感染活動を行う機能 |
100 |
特定のURLにアクセスする機能 |
100 |
「Reverse Socks」プロキシサーバを実行する機能 |
100 |
POST HTTPリクエストのデータを収集する機能 |
200 |
ネットワークの接続をフックする機能 |
200 |
ユーザのコンピュータに広告を表示させる機能 |
100 |
クッキースタッフィングをする機能 |
200 |
なお、「PALEVO」ファミリのワームは、メインとなる実行ファイルを隠蔽させるため、自身のファイル構造に関しても、さまざまな暗号化の手法が用いられているようです。
2010年2月にボットネットMariposaに関わった人物が逮捕されたとはいえ、以下のMalware Blogのエントリでも報告されているように、「TrendLabs(トレンドラボ)」では、2011年5月にも、この「PALEVO」関連の事例を確認しています。
- Malicious .SWF File May Trigger a DoS Attack(英語情報のみ)
- Spam Sends Malicious Links to Skype Users(英語情報のみ)
- Mariposa/PALEVO on the Rise Again(英語情報のみ)
- 不正なファイルのダウンロード
- IMの初期化
- P2Pサイトやリムーバブルドライブを介しての感染活動
- 特定のブラウザからのパスワードの収集
- 「UDP Flood 攻撃」や「TCP Flood 攻撃」の実行
- ポートのスキャン
- (ボットネット上で)感染した他のコンピュータへアドウェアを送り込む
- Windows ファイアウォールの設定を有効にしておき、インターネット上のあらゆる接続に関する防御を確実にすること。
- Windowsの自動実行機能を無効にしておくこと。これにより、リムーバブルドライブやネットワークドライブ内の不正な実行ファイルが不意に実行されるのを避けることができます。
- ご使用のすべてのソフトウェアに関しては、発信元から提供された修正パッチ等をダウンロードして適応し、常に最新化しておくことです。これにより、未修正の脆弱性が悪用されるのを避けることができます。
- 発信元が不明な疑わしいURLは、決してクリックしないこと。
- 万が一、ご使用のコンピュータの感染が判明した場合は、直ちにそのコンピュータをネットワークから切り離すことです。これにより、他のコンピュータへの感染を避けることができます。