パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト


【Dr.WEB】未だ活動を続けるRmnetボットネット!

欧州刑事警察機構(ユーロポール)による大規模なオペレーションによりRmnetボットネットは活動を停止したというニースの報道にも関わらず、Doctor Webではその活動が未だに確認されています。メディアの報道によると、サーバー犯罪に取り組む英国の捜査機関がドイツ、イタリア、オランダと連携し、Rmnetの主要なC&Cサーバーを停止させたということです。

ニュースレポートによると、2015年2月24日、複数の機関が連携しRmnetボットネットのC&Cサーバーを停止させました。このオペレーションにはユーロポールの欧州サイバー犯罪センター、EU機関のコンピューター緊急対応チーム(Computer Emergency Response Team:CERT-EU)、シマンテック、Microsoft、AnubisNetworks、そのほかの欧州機関が協力しています。ユーロポールのwebサイトでは、悪意のあるプログラムによって生成されるC&Cサーバーのインターネットドメインアドレス約300を取り締まったと報告され、ロイター通信社によると、オペレーションによって7台のC&Cサーバーを停止させたとしています。シマンテックでは、このオペレーションにより350,000台の感染したデバイスから成るボットネットを徐々に停止へと追い込んだとし、Microsoftでは、その合計台数は500,000台にも及んでいる可能性があるとしています。

Doctor Webのセキュリティリサーチャーは異なるバージョンのRmnetファイルインフェクターを使用して構成された複数のボットネットのサブネットに対する監視を行っています。2011年9月に発見されたWin32.Rmnet.12と呼ばれる亜種は複数のモジュールから成るマルチコンポーネントファイルインフェクターです。このプログラムは自己複製機能を持ち、犯罪者から受け取ったコマンドを実行し、ロードされたwebページ内にコンテンツを埋め込み(これにより犯罪者が被害者のバンクアカウント情報を得ることが論理的には可能になります)、Ghisler、WS FTP、CuteFTP、FlashFXP、FileZilla、Bullet Proof FTPなどのポピュラーなFTPクライアントプログラムによって保存されたクッキーやパスワードを盗みます。

次に登場した亜種Win32.Rmnet.16は、C&Cサーバーを選択する際にデジタル署名を使用するなど、Win32.Rmnet.12とは異なる機能を備えていました。このウイルスはリモートサーバーから受け取ったコマンドを実行することができ、特に任意のファイルをダウンロード・実行、自身をアップデート、スクリーンショットを撮り犯罪者に送信、さらにはOSを動作不能にさせることも可能です。さらにモジュールは一般に広く普及しているアンチウイルスプログラムのプロセスを停止させる機能を備えています。Win32.Rmnet.12と同様、Win32.Rmnet.16もMBRを改変し、そのファイルを暗号化してディスクの最後に保存することができます。

オペレーションによってRmnetボットネットの活動を停止させたという多くのニュースレポートにも関わらず、Doctor Webではアンチウイルスラボによって監視が続けられているボットネットの活動に何らの減少も確認されませんでした。現在のところ、C&Cサーバーのドメイン生成にアルゴリズムを使用するRmnetの少なくとも12のサブネット、および自動ドメイン生成を使用しないWin32.Rmnet.12の少なくとも2つのサブネット(シマンテックでは前者のカテゴリに属するシード79159c10のサブネット1つのみがブロックされています)の活動がDoctor Webセキュリティリサーチャーによって確認されています。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=836&lng=ja&c=2