今回取り上げる「WORM_SPYBOT.GEN1」(スパイボット)は,ボットの1種である。「ボット」とは,ボットネットと呼ばれるネットワークを構成するウイルスの総称である。ボットネットは,数百~数万台の規模で構成される。ボットネットは,通常のウイルスやワームとは異なり,ハーダーまたはマスターと呼ばれる人間の指示により,感染コンピュータのDoS攻撃(サービス拒否攻撃)への強制参加やスパムメールの代理送信といった活動を遠隔操作で行うことができる。

 また,ボットネットの多くは,チャットシステムの仕組みの一つであるIRCメカニズムを使ってネットワークを構成する。IRCメカニズムを利用するボットをIRCボット,またこれで構成するボットネットをIRCボットネットと呼ぶ。なお,IRCメカニズムの他に,P2PやWebの仕組みを利用するボットも存在するが,制御の中心となるサーバは共通してC&C(Command and Control)またはC&Cサーバーと呼ばれる。

 従って,ボット型ウイルスの検証を行なうにはウイルス自体の検証はもとより,C&Cサーバー側の検証も必要となる。そのため,今回は「WORM_SPYBOT.GEN1」のソースコードを入手し,筆者の環境に合わせてコンパイルした。なお,今回検証に使用したボット型ウイルスである「WORM_SPYBOT.GEN1」の主な機能は次の通りである。

・感染コンピュータのDoS攻撃への強制参加
・ファイルのダウンロード
・ポートスキャン
・プロセスの終了
・バックドア活動
・Webサーバーとして動作
・キー入力情報の取得
・システム情報の取得
・ファイルの閲覧
・ファイルの実行
・CD-ROMドライブの開閉
・プロキシ・サーバーとして動作

 検証環境用に3台のPCを用意し,ローカルなネットワークを構成した(図1図2)。テスト機1(IPアドレス192.168.0.1),テスト機2(IPアドレス192.168.0.2)にはWindows XP SP2をインストールした。テスト機3(IPアドレス192.168.0.3)にはRedHat Enterprise Linux Version 4をインストールした。事前準備としてテスト機3にはC&Cサーバ用のパッケージ「ircd」をインストールし,任意のポート6667で起動しておく。

図1●今回検証した環境
図1●今回検証した環境
テスト機1上の「WORM_SPYBOT.GEN1 」を実行し,C&Cサーバであるテスト機3と接続した後,テスト機3から遠隔操作を行う
図2●検証したウイルスの動作概要
図2●検証したウイルスの動作概要