『MyDoom.O』ワームに潜む新たな危険性

この記事のURLhttp://japan.internet.com/webtech/20040728/10.html

昨日『MyDoom.O』ワームの感染拡大により、Google など主要検索エンジンに影響が出た。各検索エンジンが対策を施し、影響の拡大は阻止できたが、今度は同ワームの第2の目的が明らかになった。Microsoft.com への攻撃経路の確保と、コンピュータのバックドアを開くことだ。

セキュリティ会社 iDEFENSE の悪意コード担当ディレクタ Ken Dunham 氏は27日午前、新種のワーム『Zindos.A』に関する情報を公開した。Zindos.A は、『MyDoom.O』内で見つかっているトロイの木馬を利用する。このトロイの木馬『Zincite.A』が Zindos.A を起動し、その後 Microsoft.com に対するサービス不能化 (DoS) 攻撃が始まる。また、インターネットに接続したコンピュータに対して、TCP ポート1034番が開いていないか無作為に探索し、開いていれば自身をアップロードする。

Microsoft は、使用しているアンチウイルス製品のベンダーから、最新のウイルス定義をダウンロードするように呼びかけている。同ワームは Windows 2000/95/98/ME/NT/Server 2003/XP、各 OS で機能する。

Microsoft は27日の午前中に発表した声明で、「当社は新種のバックドアワーム Zindos に関して、感染したコンピュータが Microsoft.com ドメインに、分散型サービス不能化 (DDoS) 攻撃を行なうという報告の検証を開始した。当社は、Microsoft.com ドメインがアクセス不能にならないよう手段を講じてきた。Microsoft.com ネットワークは安定しており、常にユーザーが利用できる状態を保っている」と述べた。

Zindos.A は MyDoom.O に感染しているコンピュータと接続するまで、なんら機能できない。Zincite.A はコンピュータの TCP ポート1034番を開き、同じポートを開いているインターネット接続のコンピュータを無作為に検索する。

Zincite.A によってポート1034番の開いているコンピュータが見つかると、暗号化した自身のコピーを送信して自己展開し、さらに無作為のポートスキャンと Zindos.A の起動を行なう。これが一通りの感染サイクルだ。

Dunham 氏によれば、Zincite.A には、まだ明らかにはなっていないものの「Zincite に感染したコンピュータ間で、ピアツーピア (P2P) タイプの通信を行なうものか、バックドア型トロイの木馬の可能性を示す」別の機能が動作しているという。

同氏は、パスワードやクレジットカード情報などの、個人情報を収集するソフトウェアと同様の犯罪目的があるのではないか、と推測している。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。