米SANS Instituteは米国時間11月2日,ボットネットはスパイウエアを配布する手段としても使われているとして注意を呼びかけた。攻撃者はボットネットを構成するマシンに対して,特定サイトからスパイウエアをダウンロードするよう命令を出す。その命令に従って,ボットが仕込まれたマシンにはスパイウエアが仕込まれる。
ボットネットの悪用方法としては,スパム(迷惑メール)送信やDoS(サービス妨害)攻撃の踏み台として使うことがよく知られている。しかし,悪用方法はこれらにとどまらない。攻撃者は,ボットを仕込んだマシンを思い通りに操作できるからだ。当然,スパイウエア/アドウエアをダウンロードさせて実行させることも可能である。
SANSが公開するブログ「Handler's Diary」の担当者(ハンドラ)の一人であるPedro Bueno氏は,自身が用意しているおとりのボット・マシンの調査中に,スパイウエア/アドウエアが仕込まれる“現場”を目撃したという。
攻撃者からは,同氏のマシンを含むボットネットに対して,特定のサイトからあるスパイウエアをダウンロードするような命令が送信された。その命令に従って,ボット・マシンにはスパイウエアがインストールされたという。このときダウンロードされたスパイウエアは「ISTbar」と呼ばれるもの。Internet Explorerのホームページと検索機能を“ハイジャック”して,特定のサイトへユーザーを無理やり誘導する。
覚えのないウインドウなどがデスクトップ上にいきなり表示されたら,そのマシンにはボットが既に感染している可能性がある。対策ソフトなどを利用して,徹底的に調査したほうがよい。
なお,Handler's Diary中に記載されているURLには,現時点(11月4日夕方)でもスパイウエアが置かれている模様。アクセスしないでいただきたい。
◎参考資料
◆Botnets and Adwares-Spywares connection
