検出を回避しようとするStormワームに「誤植」などの特長を確認(マカフィー) | ScanNetSecurity
2021.10.23(土)

検出を回避しようとするStormワームに「誤植」などの特長を確認(マカフィー)

マカフィー株式会社は11月24日、Stormワームについての考察を同社ブログにおいて発表した。Stormは、ターゲットPCから大量のスパムを送信する比較的大規模なボットネットで、「Nuwar」「Zhelatin」「FakeAV」「Peacomm」の別名を持つ。2007年初めに登場し、主にスパミン

製品・サービス・業界動向 業界動向
マカフィー株式会社は11月24日、Stormワームについての考察を同社ブログにおいて発表した。Stormは、ターゲットPCから大量のスパムを送信する比較的大規模なボットネットで、「Nuwar」「Zhelatin」「FakeAV」「Peacomm」の別名を持つ。2007年初めに登場し、主にスパミングとフィッシング活動で有名になった。今年初めに再び登場し、偽のウイルス対策ソフトやダウンローダー型トロイの木馬により配布された。

StormはFast-Fluxという手法で分布域がわからないようにする。同社McAfee Labsが行った分析では、Stormの実行ファイルは未知の圧縮プログラムで難読化され、デバッグ環境や仮想環境が検出されると活動を中止する無限ループが使用されていることが確認された。また、ボットマスターと通信する際のPOSTリクエストコードを検証したところ、User-Agentヘッダで「Windows」とするべきところが「Windoss」になっているという誤植も発見した。これらの特徴の把握によって、Stormを検出する確率が高まったという。

http://www.mcafee.com/japan/security/mcafee_labs/blog/peering-into-the-storm-worm.asp
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/8~11/30迄 創刊23周年記念価格提供中★★
★★10/8~11/30迄 創刊23周年記念価格提供中★★

2021年10月8日(金)~11月30日(火) の間 ScanNetSecurity 創刊23周年記念価格で提供。

×