以前、W32.Virutというファイルインフェクタをこのブログで取り上げたことがあります。それだけではなく、ボットネットのシャットダウン要請に関する考察も掲載しました。最近の訴訟手続きによって Virut のコマンド & コントロール(C&C)サーバーのドメインが一時的に停止したため、シマンテックはランダムなドメインジェネレータによるバックアップを予測してシンクホールに捕捉し、ボットネットのサイズや統計に関する情報を収集することに成功しました。あいにく停止は一時的だったため、Virut は今も活動し続けています。
ハードコードされたサーバーとドメインの生成
W32.Virut が使う C&C サーバーで、ドメイン irc.zief.pl と proxim.ircgalaxy.pl は命令を受信するために使われますが、最近のバージョンにはハードコードされたサーバーにアクセスできない場合に使うドメインジェネレータのバックアップも追加されています。シマンテックは Virut の監視を続けていましたが、長期にわたって稼働していた Virut の C&C ドメインは接続クライアントへの応答を 2012 年 11 月中ごろに停止しており、対応するレジストラのステータスも変更されていることが確認されました。
図 1. Virut の既知の C&C サーバーでステータスが「undergoing proceeding」(訴訟進行中)に変更
ポーランドのドメイン名レジストリによれば、ドメインのステータスが「undergoing proceeding」となっている場合、そのドメインは訴訟手続きが進行中であることを意味します。同じような変更は、他の Virut ドメインにも見られました。
生成されたドメインをシンクホールに捕捉
C&C サーバーが接続クライアントへの応答を停止したため、Virut クライアントはランダムなドメインジェネレータによるバックアップを使い始めました。シマンテックはこの機を逃さずに Virut が使うドメインジェネレータを調査し、ドメインをシンクホールに捕捉してボットネットのサイズを推測し始めました。
その結果、3 日間だけドメインをシンクホールに捕捉することができ、接続についての統計が得られました。
Virut ボットネットに関する統計
図 2.シンクホールデータに基づく、全世界での Virut の検出数
Virut の検出は全世界に広がっていますが、特にエジプト、インド亜大陸、インドネシアに集中していることがわかります。
図 3. Virut ボットネットの国別の内訳
確保できたシンクホールデータによると、Virut ボットネットは重複を数えずに約 308,000 台のコンピュータに感染していると推測されます。これは特定の 1 日に稼働していたコンピュータに限った数であり、電源が入っていなかった、またはインターネットに接続していなかったコンピュータは含まれないため、控え目な見積りにすぎません。
ハードコードされたドメインの復帰
2012 年 12 月初めに、zief.pl domain ドメインのステータスが「undergoing proceeding」から変わったことが WHOIS 情報によって確認できます。
図 4. Virut の既知の C&C サーバードメインが fastpark.net としてパーキングされている
このドメインがパーキングされたのは 12 月 12 日です。その後まもなく、zief.pl ドメインと ircgalaxy.pl ドメインはどちらもステータスが再び変わります。
図 5. zief.pl ドメインと ircgalaxy.pl ドメインがともにオンラインに復帰
12 月 26 日になるとハードコードされていた C&C サーバーはオンラインに復帰し、12 月 28 日には Virut ボットネットのクライアントに新しいペイロードが送信され始めました。
それ以来 Virut は多くのペイロードを送信し続けています。このペイロードには、広告や詐欺を目的としたスパムメールを送信する、米国郵政公社を詐称して悪質なファイルが添付されたメールを送信する、クリック詐欺を実行する、侵入先のコンピュータ上でインターネットプロキシサービスをホストするなどの機能があり、かなり悪質なマルウェアと言えるでしょう。
まとめると、Virut にハードコードされていたサーバーはオフラインになり、かわりに代替ドメインが生成されるようになりました。この代替アルゴリズムのおかげで、シマンテックはボットネットの統計を集めることに成功し、アクティブな Virut クライアントの数が、わずか 1 日で重複を数えずに約 308,000 台にも及ぶというその規模を推測できました。しかし、ハードコードされていた元のサーバーがオフラインだったのは一時的で、12 月後半にはオンラインに復帰し、またしても新しいペイロードの拡散を開始します。つまり、ボットネットは活動を維持しているのです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。