Stale botnet got renewal because inspired via Conficker
Confickerは結局何も起きなかったということで安閑としている方がいるかもしれませんが、同じ
MS08-067を使った新しいワームの存在が確認されました。
A Few Quiet Days… and a New Exploit of MS08-067 Has Been Identified
Confickerと同じ脆弱性を突くワームが出現
Neerisの最初に出現したのは2005年5月。これまでは別の脆弱性「MS06-040」を悪用するもので、MS08-067によって修正されたServer Serviceの問題とよく似ていました。しかし、このNeerisの作者はConfickerから何らかのヒントを得たらしく、一週間前に出現した新しい亜種はConfickerと非常によく似た特徴を備えています。
- Neerisの新種はMS08-067脆弱性を突くもので、侵入されたPCはHTTP経由でワームのコピーをダウンロードします。
- NeerisはAutorunによって広がります。これはConfickerと同様、"Open folder to view files"に登録されて感染が拡大します。
- NerrisはXPSP2の外向けセッションの制限数を解除するためのドライバを組み込みます。
Microsoftによれば、もとはConfickerの作者がNeerisを真似た可能性もあるが、その後、NeerisがMS08-067の脆弱性悪用機能を採用した状況を見ると、両ワームの作者は手を組んでいるか、少なくとも互いに意識し合っているともみられる。
ウィルスの作者同士、切磋琢磨していいものを・・・ん?
ヤメテクレ(苦笑)
----------------------
Donbot - Joining The Club of Million Dollar Botnets
McAfeeはこのBOTワームを Donbotと呼んでいるようです
検出名 W32/IRCbot.gen.a はそれ自身を\netmon.exeとして保存し、\drivers\sysdrv32.sys (MD5: 0e219b74e2c68a34ca09d8fe114f6d11)というrootkitをインストール、Windows XP ServicePack2 以降で実装されている外向けセッション数の制限を解除するためにtcpip.sysを上書きし、その後IRCからのコマンド待機状態となります。
この新しくなったDonbotはConfickerと同様、“ms08_067_netapi” Metasploitモジュールが使われており、本来はセキュリティ検証用のシステム貫入試験ツールのはずが皮肉にもワーム・マルウェアの効率的な作成の手助けとなっている。
4b193a3eb51a43abd80a9b4bccbe4da2
smartkey.exe -- 6a8a50ef0704fb322fc2b57ecdbfd09d
なんだかなぁ・・・