マカフィー株式会社は11月24日、Stormワームについての考察を同社ブログにおいて発表した。Stormは、ターゲットPCから大量のスパムを送信する比較的大規模なボットネットで、「Nuwar」「Zhelatin」「FakeAV」「Peacomm」の別名を持つ。2007年初めに登場し、主にスパミングとフィッシング活動で有名になった。今年初めに再び登場し、偽のウイルス対策ソフトやダウンローダー型トロイの木馬により配布された。StormはFast-Fluxという手法で分布域がわからないようにする。同社McAfee Labsが行った分析では、Stormの実行ファイルは未知の圧縮プログラムで難読化され、デバッグ環境や仮想環境が検出されると活動を中止する無限ループが使用されていることが確認された。また、ボットマスターと通信する際のPOSTリクエストコードを検証したところ、User-Agentヘッダで「Windows」とするべきところが「Windoss」になっているという誤植も発見した。これらの特徴の把握によって、Stormを検出する確率が高まったという。http://www.mcafee.com/japan/security/mcafee_labs/blog/peering-into-the-storm-worm.asp
