2014年8月29日

株式会社Doctor Web Pacific

現代におけるITの世界では、あるOS向けに設計されたアプリケーションやゲームが、後に別のOSに適用される例がしばしば見受けられます。一方で、そのようなケースはマルウェアにおいては非常にまれであり、中でもLinux向けに設計されたマルウェアがWindowsを感染させる例はほとんど見られませんでした。しかしながら、近頃Doctor Webによって解析された検体は、そのような事例を代表するものでした。

2014年5月、Doctor WebではDDoS攻撃を行うLinuxトロイの木馬について報告しました。解析を行ったウイルスアナリストによって、このトロイの木馬は中国のウイルス開発者によって設計されたものであることが明らかになり、さらに、ここ最近発見された新たな亜種には従来のものと大きく異なる変更が加えられていることが確認されました。それらの亜種はWindowsに対してDDoS攻撃を行います。

そのようなプログラムの1つであるTrojan.DnsAmp.1は、実際のところ、Windowsと互換性のあるLinux.DnsAmpです。このトロイの木馬はWindowsサービス Test My Test Server 1.0を装ってシステム上にインストールされ、その実行ファイルはvmware-vmx.exeという名前でシステムフォルダ内に保存されます。起動されるとTrojan.DnsAmp.1は感染させたコンピューターに関する情報を犯罪者のサーバーに送信し、DDoS攻撃を実行するためのコマンドを待ちます。また、悪意のある別のプログラムをダウンロード・実行する機能も備えています。Doctor Webのリサーチャーによって解析されたコードから、Trojan.DnsAmp.1はLinux.DdoSおよびLinux.BackDoor.Gatesの開発者によって製作されたものであることが示唆されています。Trojan.DnsAmp.1の動作についての詳細はこちらの記事をご覧ください。

Doctor Webウイルスアナリストによって取得されたデータによると、6月5日から8月13日の間に、このトロイの木馬ファミリー（主にLinux.BackDoor.Gates）によって行われたDDoS攻撃の数が最も多く確認された国は中国（2万8,093件）、次いで米国となっています。以下の図はその地域別分布を表しています。

Dr.Webウイルスデータベースには既にこの脅威のシグネチャが追加されているため、Dr.Webアンチウイルスに保護されたシステムに危害が及ぶことはありません。