検出を回避しようとするStormワームに「誤植」などの特長を確認(マカフィー)
マカフィー株式会社は11月24日、Stormワームについての考察を同社ブログにおいて発表した。Stormは、ターゲットPCから大量のスパムを送信する比較的大規模なボットネットで、「Nuwar」「Zhelatin」「FakeAV」「Peacomm」の別名を持つ。2007年初めに登場し、主にスパミン
製品・サービス・業界動向
業界動向
StormはFast-Fluxという手法で分布域がわからないようにする。同社McAfee Labsが行った分析では、Stormの実行ファイルは未知の圧縮プログラムで難読化され、デバッグ環境や仮想環境が検出されると活動を中止する無限ループが使用されていることが確認された。また、ボットマスターと通信する際のPOSTリクエストコードを検証したところ、User-Agentヘッダで「Windows」とするべきところが「Windoss」になっているという誤植も発見した。これらの特徴の把握によって、Stormを検出する確率が高まったという。
http://www.mcafee.com/japan/security/mcafee_labs/blog/peering-into-the-storm-worm.asp
《ScanNetSecurity》