都内で開催されたセキュリティカンファレンス「Black Hat Japan 2006 Briefings」の2日目、Thorsten Holz氏とGeorg Wicherski氏が、「マルウェアの捕獲」と題して、両氏らが進めるボットの収集と解析について解説した。

Holz氏はまず、「ボットはワームのように感染を拡大する」とその広がりを警告。ボットの特徴として、IRCを使って「C&C(Command & Control)サーバー」から指令を受けて、ボットに感染したマシン群(ボットネット)が動作する仕組みを解説する。

現在両氏らが研究しているのが、自動でボットや、それに近いマルウェアを収集するためのシステム。既知の脆弱性をエミュレートして、その脆弱性を狙うマルウェアをダウンロードする「nepenthes」というツールだ。

このnepenthesは各種のマルウェアに対応できるようにモジュール化されており、脆弱性モジュール、シェルコードモジュール、ダウンロードモジュール、サブミッションモジュールに分かれているほか、シェルのエミュレーションと仮想的なファイルシステムも備える。この中で脆弱性モジュールはMS03-039やMS04-011、MS04-045など20種類以上をカバー。新しい脆弱性が発見されると、そのモジュール化を進めるという。