米Symantecは米国時間2009年7月9日,米国と韓国の政府機関などを狙って行われた大規模なDDoS攻撃について,さまざまなマルウエアが関与しているとの調査結果を発表した(関連記事:韓国と米国のWebサイトに大規模なDDoS攻撃,FTCなどがアクセス不能に/米国や韓国のサイトを狙う大規模攻撃、原因はボットネット)。
同社によると,感染の発端はメールの添付ファイルとして送られてくるドロッパ型のマルウエア「W32.Dozer」である。ユーザーがW32.Dozerを実行すると,マルウエア「Trojan.Dozer」「W32.Mydoom.A@mm」がパソコンにダウンロードされ,DDoS攻撃に悪用される。さらにW32.Dozerは「W32.Mytob!gen」もダウンロードする。W32.Mytob!genはパソコン内にあるメール・アドレスを収集し,各アドレスにW32.Dozerを送付して感染拡大を図る。このようにして,感染から攻撃実行,感染拡大というサイクルが作られる。
Trojan.Dozerはバックドアとして機能し,外部からのコマンドを受け付ける。通信先のIPアドレスと通信に利用するTCPポートの番号は「213.33.116.41:53番」「216.199.83.203:80番」「213.23.243.210:443番」。DDoS攻撃を実行するほか,Trojan.Dozer自体のアップデートも行える。W32.Mydoom.A@mmは,W32.Mytob!genを削除する機能も持っている。
攻撃源については,現在さまざまな情報があるとして具体的に伝えていない。
また米メディア(CNET News.com)によると,今回のDDoS攻撃に悪用されているパソコンは5万台程度であり,このマルウエアには感染パソコンのマスター・ブート・レコード(MBR)などを削除する機能があると報じている。
[発表資料へ]
