Kaspersky Lab は、マルウェア Kido (別名:Conficker、Downadup) の新たな亜種が検知されたことをお知らせいたします。
Kaspersky Lab は、マルウェア Kido (別名:Conficker、Downadup) の新たな亜種が検知されたことをお知らせいたします。4 月 8 日および 9 日の夜、Trojan-Downloader.Win32.Kido (別名:Conficker.c) に感染したコンピュータ同士が P2P によって通信して新しい悪意あるファイルをダウンロードする指令を受け渡し、Kido ボットネットをアクティベートしたことが確認されました。
この最新の Kido 亜種は、これまでの亜種とは異なり、再びワームの特徴を備えるマルウェアとなっています。内部で解析した結果、このワームは 2009 年 5 月 3 日に機能停止するように制限が設けられていることがわかりました。
この Kido は、自分自身の更新をダウンロードする以外に、新たに 2 つのファイルを感染コンピュータにダウンロードします。そのうち 1 つは偽のアンチウイルスアプリケーション (検知名:FraudTool.Win32.SpywareProtect2009.s) であり、ウクライナに置かれたサイトから配布されています。このファイルは、実行されると、「検知されたウイルス」に対して $49.95 で削除を請け負う、という内容のメッセージを表示します。
もう 1 つのファイルは、Email-Worm.Win32.Iksmas.atz として検知されます。このメールワームは別名を Waledac といい、データを盗んでスパムを送信する機能を持っています。このマルウェアが初めて検知されたのは 2009 年 1 月であり、多くの IT エキスパートが Kido と Iksmas の類似性について言及していました。Kido の大流行は、Iksmas が引き起こした同等規模の大流行とよく似ています。
Kaspersky Lab の国際調査研究分析チームを率いるアレックス・ゴスチェフは、次のように現状を説明しています。「Iksmas は、12 時間にわたって世界各国にある自身の指令センターへ何度も接続し、スパムメールを送信する指令を受け取っていました。12 時間の間に、1 つのボットだけで 42,298 ものスパムメールを送信しています。実質的に、それぞれのメールにはそれぞれ一意のドメインが含まれていました。これが、アンチスパムによるフィルタリングを避けるためであるのは明らかです。アンチスパムは、特定ドメインの使用頻度を分析することでメールの大量配信を検知するからです。全体として、40,542 件の第 3 レベルドメインと 33 件の第 2 レベルドメインの使用が確認されました。これらサイトは、ほぼすべてが中国におかれており、さまざまな人物の名前で登録されていますが、ほとんどは架空の名前です。」
「単純計算すると、1 つの Iksmas ボットが 24 時間以内に送信するメールの数は 80,000 ほどです。仮に 500 万台のコンピュータが感染しているとすると、そのボットネットから送信されるスパムメールの数は、24 時間で 40 億にも上ります。」
現在 Kaspersky Lab では、この新しい Kido 亜種について詳しい分析を続けています。同時に、この亜種の機能を考慮に入れた KKiller ユーティリティ最新版についても開発中です。
Kaspersky Lab 製品をお使いであれば、最新版の Kido ワーム (Net-Worm.Win32.Kido.js) はヒューリスティック分析によって初めから HEUR:Worm.Win32.Generic として検知されます。このワームによってダウンロードされる Iksmas 亜種についても同様です。
