月曜日, 2月 21, 2011

新しい種類FastFluxポットネット「WiBiMo」が発見!

新しいボットネットWiBiMo (Wild Big Money)のマルウェアが発見されました。
WeBiMoがFastFluxを使っている技術ですので、簡単に言うと、マルウェアが感染されたマシンのDNSサービスとHTTPプロキシ設定をころころ変えます。
前回FastFluxの技術を使っているボットネットがありました(例えばAvalance、WazerovとRockPish)、大きい問題になってしまいました。前回ではマルウェア対策ソフトのワクチンが出たら問題が解決でした。

今回WeBiMoがFastFlux遣り方はDNSピソニングだけでは無く、HTTPのリバースプロキシがやっています。感染されたパソコンはマルウェアのウェブサイトに見に行くように仕組みです。

具体的にFastFluxとボットネットが未だ分からない方々が沢山居るかと思いますが、下記私は簡単なパワーポイントでFastFluxボットネットの図を書きました↓

備考:
※プロセスは番号①から⑥迄順番で行く
※赤い矢印はボット・マスターの支持/COMMANDのライン
※紫矢印は感染ライン
※WeBiMoがFastFluxボットネットは⑥の時に、感染されたホームページから4つ行動を行われる、⑥のa)から~⑥のd)迄です。それぞれの行動説明は図に書いてあります。

このボットネットの特徴は↓
・FastFlux技術(DNSポイソンとHTTPリバース・プロキシ)
・コードやメッセージが10回RC4で暗号されている
・現時点では本件ボットネットから送ったスパムは薬の関係

PS: 本件のサンプルは現時点では出ていると思いますので、マルウェア交換サイトに取れます。Credit:Kelly Jackson Higgins
PS(2): 今コードを見ている所で、このコードではロシア語キーボードで作られたらしい特別なフォントが出てます。

---
ゼロデイ・ジャパン マルウェア研究所
http://0day.jp
Written/checked/tested by: アドリアン・ヘンドリック

0 件のコメント:

コメントを投稿