パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト


2015年3月アーカイブ

欧州刑事警察機構(ユーロポール)による大規模なオペレーションによりRmnetボットネットは活動を停止したというニースの報道にも関わらず、Doctor Webではその活動が未だに確認されています。メディアの報道によると、サーバー犯罪に取り組む英国の捜査機関がドイツ、イタリア、オランダと連携し、Rmnetの主要なC&Cサーバーを停止させたということです。

ニュースレポートによると、2015年2月24日、複数の機関が連携しRmnetボットネットのC&Cサーバーを停止させました。このオペレーションにはユーロポールの欧州サイバー犯罪センター、EU機関のコンピューター緊急対応チーム(Computer Emergency Response Team:CERT-EU)、シマンテック、Microsoft、AnubisNetworks、そのほかの欧州機関が協力しています。ユーロポールのwebサイトでは、悪意のあるプログラムによって生成されるC&Cサーバーのインターネットドメインアドレス約300を取り締まったと報告され、ロイター通信社によると、オペレーションによって7台のC&Cサーバーを停止させたとしています。シマンテックでは、このオペレーションにより350,000台の感染したデバイスから成るボットネットを徐々に停止へと追い込んだとし、Microsoftでは、その合計台数は500,000台にも及んでいる可能性があるとしています。

Doctor Webのセキュリティリサーチャーは異なるバージョンのRmnetファイルインフェクターを使用して構成された複数のボットネットのサブネットに対する監視を行っています。2011年9月に発見されたWin32.Rmnet.12と呼ばれる亜種は複数のモジュールから成るマルチコンポーネントファイルインフェクターです。このプログラムは自己複製機能を持ち、犯罪者から受け取ったコマンドを実行し、ロードされたwebページ内にコンテンツを埋め込み(これにより犯罪者が被害者のバンクアカウント情報を得ることが論理的には可能になります)、Ghisler、WS FTP、CuteFTP、FlashFXP、FileZilla、Bullet Proof FTPなどのポピュラーなFTPクライアントプログラムによって保存されたクッキーやパスワードを盗みます。

次に登場した亜種Win32.Rmnet.16は、C&Cサーバーを選択する際にデジタル署名を使用するなど、Win32.Rmnet.12とは異なる機能を備えていました。このウイルスはリモートサーバーから受け取ったコマンドを実行することができ、特に任意のファイルをダウンロード・実行、自身をアップデート、スクリーンショットを撮り犯罪者に送信、さらにはOSを動作不能にさせることも可能です。さらにモジュールは一般に広く普及しているアンチウイルスプログラムのプロセスを停止させる機能を備えています。Win32.Rmnet.12と同様、Win32.Rmnet.16もMBRを改変し、そのファイルを暗号化してディスクの最後に保存することができます。

オペレーションによってRmnetボットネットの活動を停止させたという多くのニュースレポートにも関わらず、Doctor Webではアンチウイルスラボによって監視が続けられているボットネットの活動に何らの減少も確認されませんでした。現在のところ、C&Cサーバーのドメイン生成にアルゴリズムを使用するRmnetの少なくとも12のサブネット、および自動ドメイン生成を使用しないWin32.Rmnet.12の少なくとも2つのサブネット(シマンテックでは前者のカテゴリに属するシード79159c10のサブネット1つのみがブロックされています)の活動がDoctor Webセキュリティリサーチャーによって確認されています。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=836&lng=ja&c=2

Doctor Webでは、Mac OS Xを標的とする危険なバックドアトロイの木馬の新たなバージョンであるMac.BackDoor.OpinionSpy.3について分析を行いました。この悪意のあるプログラムはMacユーザーをスパイする目的を持ち、ユーザーの開いたwebページに関する情報を集めて犯罪者に送信したり、コンピューターのネットワークカードを経由するトラフィックを分析、インスタントメッセージングプログラムから送られたネットワークパケットを傍受するほか、複数の危険な動作を実行します。

Mac.BackDoor.OpinionSpyプログラムは2010年より情報セキュリティエキスパートに知られていましたが、先頃その新たな亜種がDoctor Webウイルスラボに登場し、Mac.BackDoor.OpinionSpy.3と名付けられました。

Mac.BackDoor.OpinionSpy.3は3段階のスキーマを用いて拡散されます。Mac OS X向けのあらゆるソフトウェアを提供する各種webサイトには一見無害なプログラムがありますが、それらと一緒にpoinstallファイルが配布され、インストールと同時に起動します。そのようなアプリケーションのインストール中に、ユーザーがそれらに対して管理者権限を与えてしまうと、poinstallは一連のPOSTリクエストを犯罪者のサーバーへ送信し、応答として.osa 拡張子を持ったパッケージをダウンロードするためのリンクを受け取ります。その中にZIPアーカイブが含まれています。poinstallはこのアーカイブを解凍し、PremierOpinionと呼ばれる実行ファイルと動作に必要な設定データを含んだXML ファイルを抽出した後プログラムを起動させます。

標的とするMac上で起動されると、PremierOpinionはC&Cサーバーに接続し、また別の.osa ペッケージをダウンロードするためのリンクを受け取ります。このパッケージから、同じPremierOpinionという名前を持った完全なアプリケーションが抽出されてインストールされます。このアプリケーションには複数の実行ファイルが含まれています。悪意のあるペイロードを持たないPremierOpinionプログラム、およびユーザーのMac OS X上で危険な動作を実行するPremierOpinionDバックドアです。

このトロイの木馬はインストール時に管理者権限を取得し、その権限を用いてシステム上で動作します。ユーザーがセットアップ時に権限を与えることに同意しなかった場合は、ユーザーがインターネットからダウンロードしたプログラムのみが、スパイコンポーネントを一切含まずにコンピューター上にインストールされます。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=837&lng=ja&c=2

Macに最適な対策 → Yosemite セキュリティソフト