2011年 7 月 21 日
株式会社カスペルスキーは、新バージョンの TDL-4 マルウェアのふるまいを調査し、その新機能を評価しました。

カスペルスキー製品によって検知される TDSS(別名 TDL)をはじめとしたマルウェアは、昨今のサイバー犯罪者が兵器として使用するツールの中でも、最も完成度が高く、巧妙に作られています。マルウェア作者達は、何百万台ものコンピューターでボットネットを構成するために、強力なルートキットコンポーネントや TDL の諸機能を利用します。

Kaspersky Lab のエキスパートは、新バージョンの TDL-4 マルウェアのふるまいを調査し、その新機能を評価しました。その一部は、感染させたコンピューターの制御に P2P ネットワークを利用すること、そして、プロキシサーバーを立ち上げる機能です。Kaspersky Lab のエキスパート、セルゲイ・ゴロバノフとイゴール・スメンコフが行った TDL-4 の調査分析により、このマルウェアの新しい機能が特定され、また感染コンピューターの数が割り出されました。TDL-4 の新機能は、同業者やアンチウイルスベンダーにできるだけ見つからないようなボットネットの構築を目的としています。ボットネットが構築されれば、たとえすべてのコマンド & コントロールセンターが閉鎖されたとしても、理論的には、感染マシンへのアクセスが可能です。

現在の TDL-4 は、感染マシン上で、Gbot、ZeuS、Optima といった悪名高いプログラムを含む、約 20 種類もの競合ツールを削除するという機能を備えています。また、TDSS 自身は、コンピューターに 30 種類ものユーティリティをインストールします。これらには、偽のアンチウイルスプログラムや、広告トラフィックを増やしてスパムの配信を行うシステムなどが含まれます。TDL-4 の新機能の中でも注目すべきは、64 ビット OS への感染能力です。また、ボットネットの制御には、これまでのコマンド & コントロールサーバー以外に、ファイル共有ネットワークである Kad が初めて利用されました。もう一つの新機能は、プロキシサーバーを立ち上げる機能です。サイバー犯罪者は、感染コンピューターを介して正体を隠したアクセスを可能とするサービスを提供し始めました。この手のサービスの相場は、1か月 100 ドル程度です。

TDL-4 は、以前のバージョンと同様、主に「パートナープログラム」を使用して拡散されます。マルウェアの作者達は、自分自身でボットネットを拡大しようとはせず、第三者に料金を払ってこれを代行させます。契約条件によって異なりますが、マルウェアを 1000 件インストールするために、約 20 ~ 200 米ドルがパートナーに支払われます。

コマンド & コントロールサーバーには防衛手段がなされていましたが、Kaspersky Lab のエキスパートたちは、感染コンピューターの数に関する統計データの収集に成功しました。取得したデータを分析すると、2011 年最初のわずか 3か月で、TDL-4 は世界各国の 450 万台のコンピューターを感染させ、その大半が米国内の PC であったことが判明しました。マルウェア配信に対する上記の料金相場を考慮すると、サイバー犯罪者達が、米国内のユーザー PC を利用してボットネットを作成するために支払った金額は、およそ 25 万米ドルと算出できます。

この調査を行ったエキスパートは、次のように語っています。「TDSS の進化が今後も続くことは間違いないでしょう。感染コンピューター同士を接続するマルウェアやボットネットは、エンドユーザーや IT セキュリティの専門家にとって不愉快極まりないものです。64 ビットシステム向けモジュールの採用、OS 起動前のマルウェア実行機能、Stuxnet で使用されるエクスプロイトの活用、P2P テクノロジーや「アンチウイルス的な」サービスの採用と、TDL-4 コードは次々に改変されています。このような技術進化を続ける TDSS は、最も高度で、最も分析困難なマルウェアであると言えます。」

TDL-4 に関する調査結果の全文は、以下からご覧になれます。
http://www.viruslistjp.com/viruses/analysis/?pubid=204792138

RSS2.0

軽さと速さの秘密がわかる!詳細資料ダウンロード カスペルスキーを体験できる!30日間無料お試しダウンロード