トレンドマイクロ、Gameoverの亜種を確認 - 接続先ドメイン生成機能が強化

トレンドマイクロは8月11日、同社のブログで「Gameover」の新しい亜種を確認したとして注意を呼びかけた。

米連邦捜査局(FBI)は6月に、オンライン銀行詐欺ツール「ZBOT」の亜種「Gameover」のネットワークを閉鎖。この閉鎖はボットネット「ZBOT」の活動規模に大きな影響を与えた。

接続先ドメイン名生成の仕組みである「Domain Generation Algorithm(DGA)」は「Gameover」で重要な役割を果たしていたが、トレンドマイクロが「TROJ_ZBOT.YUYAQ」として検出する新しいGameoverの亜種は、この手法をさらに強化しているという。

ドメインは、システムによって生成されるハッシュ関数「MD5」の結果に基づいている。ハッシュを計算する要素は、「現在の日/月/年」「0×35190501 のハードコードされた値」「tick count(PC が起動してからの時間)などとなっており、今回の場合、このMD5のハッシュは、「15ylcdt10t00m627l7a18es4f8」に変換された。この文字列は、コマンド&コントロール(C&C)サーバのホスト名として利用されている。

利用されるトップレベルドメイン(TLD)は、「.biz」「.com」「.net」「.org」のいずれかで、どのTLDを利用するかについてはシステムのtick countによって異なる。

この不正プログラムが実行されるたびに、1日あたり、最大500個の異なるドメイン名を生成するほか、最大1500の固有ドメインが生成される。

この不正プログラムは、このように大量のドメインを生成する機能を備えていると考えられるが、実際に利用されるドメインはそれに比べると少ないものとなっている。

同社が確認した「Gameover」のこの亜種に関連したドメインは23で、また、この亜種の被害にあったユーザの4分の3以上が、米国のユーザとなっている。

ネットワークトラフィックを隠蔽しようとする不正プログラムがDGAを利用した事例は、今回が初めてではなく、これが最後の事例となることもないと思われる。

なお、今回の攻撃に関するハッシュは「591567291435e4e1394aac27a0c4bbb1d5bdd47e」だという。