3月9日、シマンテックはGumblar攻撃の活動内容や被害に関する説明会を解説した。ここでは、現在のGumblarはトロイの木馬「Bredolab」を使ってボットネットを構築したり、アフィリエイトによる金銭稼ぎの手段となっていることなどが紹介された。
Gumblarは2009年4月に発見されたウイルスだが、「現在のGumblarと直接のつながりはないのでは」とシマンテックでは見ているという。命名の由来となった「gumblar.cn」ドメインを利用していた初代のGumblarは複雑な仕組みもなく、アフィリエイトやボットなどのシステムも持たなかったからだ。
初代Gumblarの挙動(2009年5月のシマンテックの発表会資料より)
そのため、「初代は実験をしていたのかもしれないし、事件を見て別のチームがまねをして現在のGumblarを作り出したのかもしれない」という。
それでは、現在のGumblarはどのような行動を行なうのか。改ざんされたWebサイトへのアクセスを攻撃サイトに誘導し、PCの脆弱性を利用して侵入するのは初代と同様だ。異なるのは、このあとだ。初代では侵入したトロイの木馬「Daonol」がFTPパスワードの盗聴などを行なった。しかし現在のGumblarが侵入させる「Bredolab」は、自身に感染を広げる機能は持たず、別の悪意あるソフトウェアをダウンロードする「ダウンローダー」だ。
現在のGumblarの挙動
「Bredolabは、作りは高度だが、やることは単純だ。しかし、落としてくるものが問題なものばかり」(シマンテック セキュリティレスポンス ディベロップメントマネージャの林薫氏)で、ボットや偽セキュリティソフト、キーロガーやルートキット、アドウェアなど、さまざまな種類の悪意あるソフトウェアをダウンロードしてくる。
Bredolabがインストールするソフトウェア
Bredolabがインストールするボットの1つ「Trojan.Zbot」は、「Zeus」とも呼ばれ、世界中でもっとも多く見つかっているボットだ。ボットを作る人と使う人が別れており、作った人はツールキットとしてアンダーグラウンド市場で販売し、これを数千ドルなどで買った人が悪さをする構図だ。
偽セキュリティツールは、偽の警告画面を表示して「あなたのPCはマルウェアに感染しています。駆除のために、このソフトウェアを買ってください」とユーザーを脅して、金銭を巻き上げる。これはインフォスティーラーのTrojan.GoldumはZbotと連携して動くもので、オンラインバンキング利用時に口座番号やパスワードを盗む機能を持っている。
偽のウイルス発見警告を発する「SecurityToolFraud」。レジストリエディタやメモ帳起動時にも、「ウイルスが見つかりました」と警告を出して利用を阻止してしまう。そのため、これに感染すると普通の人は自力での対処は難しいという
このようにBredolabは、お金を稼ぐツールや、ボットのようにお金を稼ぐ環境を構築するツールをインストールする。もちろん、こうした作業は無料で行なうわけではなく、Bredolabを仕込んだ場合、その数に応じてお金が入るようだ。「偽セキュリティソフトの代理店といえるかもしれない」(シマンテック ソリューション&プロダクトマーケティング部 セキュリティグループ プロダクトマーケティングマネージャの広瀬努氏)。
感染が増えれば利益が増える、現時のGumblar
現在のGumblarがやっかいな点の1つは、さまざまなソフトウェアを必ずすべてインストールするのではなく、設定次第でインストールさせるソフトウェアが違ってくることだ。そのため人によって症状が異なり、対処も異なってしまう。「これが、いわゆるGumblar攻撃への対象を難しくする要因の1つかなと思います」(林氏)。
(次ページ、「Gumblarはどう防ぐ?」に続く)
