検知困難なマルウェア「Qbot」が攻撃に失敗した残念な理由6時間ごとにコードを自動更新

短期間にコードを改変することで検知を困難にしているマルウェアが活発化し、多くのコンピュータが感染しているという。ただし、ある組織は意外な理由で攻撃を防ぐことができた。

2016年06月14日 08時00分 公開
[Warwick AshfordComputer Weekly]

 BAE Systemsのインシデント対応チームは、伝染力の高いマルウェア「Qbot」について警告を発している。

 このマルウェアは「Qakbot」とも呼ばれ、民間企業や公共機関のコンピュータから盗んだ2GBの機密データを毎週FTPサーバにアップロードしていた。この中には、英国のNHSネットワークのコンピュータ1100台も含まれていた。

 このマルウェアが形を変えて再び出現した。全世界5万4000台以上のコンピュータに感染し、乗っ取ったコンピュータをボットネットに追加したといわれている。感染したコンピュータの85%は英国のコンピュータだ。

 BAE Systemsのホワイトペーパーによると、このマルウェアはバックドアを備えたネットワーク認識型のワームで、資格情報の入手を主な目的としている。さらに、エクスプロイトキット「Rig」を使って拡散される。

 さらに、6時間ごとに自動更新され、そのたびに暗号化されたさまざまなバージョンのQbotが生み出される。ウイルス対策ソフトウェアが更新される頻度はその速さに追い付かないため、マルウェアの拡散が促される。

 Qbotはサンドボックスで実行されていることも察知し、状況に応じてその動作を変えて検出されるのを防ぐ。

 調査によると、標的の中にある特徴を持ったコンピュータが数台含まれていたことが攻撃の成功を防いだという。それは実に「残念な理由」だった。




続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。






ITmedia マーケティング新着記事

news028.jpg

これからのマーケティングに関する8つの予言(無料eBook)
激動するトレンドを正しく理解することはマーケティングで成功するための第一歩。今回の...

news109.jpg

フォーム作成管理システム「ヘルプドッグ フォーム」のEFO(エントリーフォーム最適化)機能が正式版に
nocoはフォーム作成管理システム「ヘルプドッグ フォーム」において、β版として提供して...

news068.png

広報活動がうまくいっている企業はどのくらいある?――オズマピーアール調査
国内企業の広報担当者200人を対象に、企業広報活動の実態を調査しました。