今回は、最近目立ったマルウエアや攻撃についてのブログを紹介する。

 トレンドマイクロは、今年7月にユーザー環境で検出されたマルウエア「PE_MUSTAN.A」が安全性の低いネットワーク周辺で広がりを見せているとして、ブログで注意を呼びかけた。MUSTANは、昨年まん延したマルウエア「WORM_MORTO.SM」をルーツに持つと見られ、弱いパスワードが設定されたシステムをターゲットにする。

 考えられるパスワードを総当たりで試すブルートフォース攻撃は新しい手口ではないが、MUSTANの存在は、セキュアだと考えられているネットワークにも著しい欠陥があることを明示している。

 MUSTANは単一システム上の複数のファイルに急速に広がる。すべての「.exe」ファイルへの感染を試みるが、「Common Files」「Internet Explorer」「Messenger」「Microsoft」「Movie Maker」「Outlook」「qq」「RECYCLER」「System Volume Information」「windows」「winnt」といった名前が付いたフォルダー内のファイルは避ける。米マイクロソフトのアプリケーションと、各種のインスタントメッセージング(IM)クライアントは感染対象から除外される。

 またMUSTANは、ネットワークを介して拡散しようとする。具体的にはRemote Desktop Protocol(RDP)を用いて他のシステムへのアクセスを試みる。特定のユーザー名とパスワードの組み合わせが使用されると、マルウエアは新しいシステムへのアクセス権を得て、ファイルへの感染を開始する。この行動はWORM_MORTOに類似している。

 システムに感染すると、ローカルドライブや外付けドライブ、ネットワーク共有ドライブなど、ほとんどすべてのドライブを標的にする。WORM_MORTOと同様に、RDPの管理共有ドライブもターゲットにする。

 このマルウエアで興味深い点は、マルウエア制御(C&C)サーバーとのやり取りにおけるDNSの使い方だ。DNSテキストレコードを使って、C&Cサーバーからの命令を受け取る。

 MUSTANは特にアジア太平洋地域で広がっているという。しかし、パスワードに関するアドバイスや過去の学習を生かしていれば、まん延するはずのないものだと、トレンドマイクロは指摘する。設定したパスワードを記憶するのが難しい場合もあるが、少しの工夫でシステムのセキュリティを維持することができる。例えば「This is my work computer password and it is safe」を「This !s my Work computer passWord and !t is Safe」に変え、さらにこれを「T!mWcpW&!sS」に短縮してパスワードに使用する。このようなパスワード設定の工夫をトレンドマイクロは提案している。