『MyDoom.O』ワームに潜む新たな危険性

この記事のURLhttp://japan.internet.com/webtech/20040728/10.html

昨日『MyDoom.O』ワームの感染拡大により、Google など主要検索エンジンに影響が出た。各検索エンジンが対策を施し、影響の拡大は阻止できたが、今度は同ワームの第2の目的が明らかになった。Microsoft.com への攻撃経路の確保と、コンピュータのバックドアを開くことだ。

セキュリティ会社 iDEFENSE の悪意コード担当ディレクタ Ken Dunham 氏は27日午前、新種のワーム『Zindos.A』に関する情報を公開した。Zindos.A は、『MyDoom.O』内で見つかっているトロイの木馬を利用する。このトロイの木馬『Zincite.A』が Zindos.A を起動し、その後 Microsoft.com に対するサービス不能化 (DoS) 攻撃が始まる。また、インターネットに接続したコンピュータに対して、TCP ポート1034番が開いていないか無作為に探索し、開いていれば自身をアップロードする。

Microsoft は、使用しているアンチウイルス製品のベンダーから、最新のウイルス定義をダウンロードするように呼びかけている。同ワームは Windows 2000/95/98/ME/NT/Server 2003/XP、各 OS で機能する。

Microsoft は27日の午前中に発表した声明で、「当社は新種のバックドアワーム Zindos に関して、感染したコンピュータが Microsoft.com ドメインに、分散型サービス不能化 (DDoS) 攻撃を行なうという報告の検証を開始した。当社は、Microsoft.com ドメインがアクセス不能にならないよう手段を講じてきた。Microsoft.com ネットワークは安定しており、常にユーザーが利用できる状態を保っている」と述べた。

Zindos.A は MyDoom.O に感染しているコンピュータと接続するまで、なんら機能できない。Zincite.A はコンピュータの TCP ポート1034番を開き、同じポートを開いているインターネット接続のコンピュータを無作為に検索する。

Zincite.A によってポート1034番の開いているコンピュータが見つかると、暗号化した自身のコピーを送信して自己展開し、さらに無作為のポートスキャンと Zindos.A の起動を行なう。これが一通りの感染サイクルだ。

Dunham 氏によれば、Zincite.A には、まだ明らかにはなっていないものの「Zincite に感染したコンピュータ間で、ピアツーピア (P2P) タイプの通信を行なうものか、バックドア型トロイの木馬の可能性を示す」別の機能が動作しているという。

同氏は、パスワードやクレジットカード情報などの、個人情報を収集するソフトウェアと同様の犯罪目的があるのではないか、と推測している。