スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

BitTorrrentを利用したワーム、確認される(たぶん初)

SecurityW32/Impard-Aというワームが、BitTorrentを利用する初のワームとして確認されたよ、というお話。基本的には、IMソフトを経由して拡大していくらしいのだけれども、一度感染すると、そのPC内のマルウェア類を根こそぎ収集、削除して、それをBitTorrentを介してSeedしていくらしい。作者自身が、多くのマルウェアを回収しようとしているらしいのだけれども、一斉に送られたのでは回線がパンクしてしまう、というのでBitTorrentを利用しているのかな?なんにしても、注意したいもの。

原典:TorrentFreak
原題:Windows Worm Uses BitTorrent to Propagate
著者:Smaran
日付:June 26, 2007
URL:http://torrentfreak.com/windows-worm-uses-bittorrent-to-propagate/

Windows XPそしておそらくVistaに影響を与えるWormが、それ自体をIMアプリケーション、たとえばAIMやWindows Live Messenger、そしてBitTorrentなどを通じて広げているという。セキュリティ調査企業のSophosは、そのワームは、それを他のPCに知らず知らずのうちに感染させるために、「ソーシャルエンジニアリングスキーム」を利用しているという。

ワーム(W32/Impard-A)は、多言語をサポートした非常に高度なプログラムであり、効率的にそれを拡散させる。また感染したPC上に存在するマルウェア(botなど)を削除し、その作者に送り返すことができる。その目標を達成するためにBitTorrentが利用される。

多くのその手のマルウェアのように、W32/Impa-AはIRCを介してコントロールされる。Sophosのセキュリティ専門家は、以下のように述べている

それはIRCを利用してリモートでコントロールされます。そして、AIMやMSNを介して、それ自身を送ることが出ます。そしてそれ自身を、C:RECYCLERmyphoto.zipというZIPファイル内にIMG009.jpg-ww.imagehosting.comというファイルとして保存します。その後、このZipファイルは画像が入っているというメッセージとともに送信されます。そのメッセージは、感染したPCと同じ言語で書かれます。この種のソーシャルエンジニアリングは、受け手がそれを問題はないと思い、そして添付ファイルを開く可能性を最大にするでしょう。たとえ、ワームによって生成されるフレーズに若干おかしなところがあるという事実があるとしても。

ここで送信されるZIPファイルは当然のことながら、写真が含まれるということはない。それは感染を引き起こすためだけに送信される。

私は個人的に、このワームによって生成されたメッセージを見る機会があった。私の友人のYahoo!Messengerから、彼女の写真を見るために、なんだかよくわからないURLを訪ねてみてくれという。彼女は、全ての写真をFacebookにアップロードしているという。私はすぐさま疑った。そう、このワームは非常に間口が広く、あらゆる人気のIMクライアントを則ることができ、サインインしているアカウントのコンタクトを利用して、その拡散を図る。さらに興味深い手としては、ワームがどのようにBitTorrentを利用するかである。

ひとたび、ワームがホストコンピュータ上で活動を開始すると、BitTorrentメインラインクライアントの実行ファイル(bittorrent.exe)を検索する。そのファイルを発見すると、torrentを開き、ある特定の場所にワームのコピーをダウンロードした後にそれをseedし始める。

これは、ワーム作者がその目的を達成するために、BitTorrentを利用していたマルウェアを作成した初の事例であろう。その理由を良く考えれば、ガテンがいく。世界中のゾンビ化したWindowsマシンからマルウェアが送りつけられてきたら、ワーム作者の回線がどうなるか、だ。

ちょっとわからなかったのが、なんで他のマルウェアを削除してワーム作者に送るのか。元記事では、おそらくワームのテリトリーとして支配すること、数多くのbot等を収集して彼自身が利用することをを目的としているのではないか、と推測している。他のマルウェアを削除してくれる、なんてのんきなことを言っていられるものでもないようだ。

いやいや、このようなソーシャルな機能まで利用するとは恐ろしいことで。知り合いからのメッセージということでお安心していると、ワームってところか。さらに、このワームはBitTorrentを利用しているということが興味深い。現在のところでは、それほど個人の生活にまで影響を与えるほどの深刻な感じではないけれども(まぁ、友人からの信頼は失いそうだが・・・)、それでもこれがさらにきわどく進化していくと、結構怖いかなぁと思ったり。単純な暴露系とかいうだけじゃなくてね。

Trackback

Trackback URL
http://peer2peer.blog79.fc2.com/tb.php/538-6c8cccc3

Comment

gooogle | URL | 2007.08.06 11:49
どうでもいいんですがタイトルがBitTorrrentでr1つ多いですよ
heatwave | URL | 2007.08.07 20:00 | Edit
gooogleさま

コメントありがとうございます。

うっかりしておりました・・・。ご指摘ありがとうございます。

このネタを扱ったほかのブログも同じように間違えているのが、ちょっと面白かったのでそのままにしておくことにします

ちなみに、HNもそれに引っ掛けられたのでしょうか。
Comment Form
公開設定

プロフィール
heatwave Author
:heatwave

RSS Jamendo twitter tumblr Creative Commons Attribution 2.1 Japan
ブログ内検索
記事リスト
最新の記事
全記事一覧
他所で書いてるブログ

P2Pとかその辺のお話@はてな

アーカイブ

カテゴリー
最近のコメント
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。