is702

ボットネット「ZeroAccess」の閉鎖がボットネット「TDSS」に影響

2014/01/14

トレンドマイクロは1月13日、同社ブログで、「ボットネット『ZeroAccess』の閉鎖 ボットネット『TDSS』への影響は」と題する記事を公開しました。

それによると、ボットネット「ZeroAccess」は、2013年12月5日(米国時間)に、マイクロソフトと捜査当局により閉鎖されましたが、これが、別の有名なボットネット「TDSS」に影響を与えていることが明らかとなりました。

ボットネット「ZeroAccess」は、ルートキット機能を備えた不正プログラム「ZACCESS(TROJ_ZACCESS・BKDR_ZACCESS・RTKT_ZACCESSなど)」で構成されていました。ボットネット「TDSS」も同様に、検出を回避するためのルートキット機能を備える不正プログラム「TDSS」で構成されていました。また、どちらのボットネットもクリック詐欺に関与しています。またトレンドマイクロは、2013年9月に公開したブログ記事で、「ZACCESS」および「TDSS」がコマンド&コントロール(C&C)のインフラの一部を共有していることを指摘しています。

実際に、「TDSS」の通信量は、12月5日以降減少しました。しかし、この活動は年末前から突如活発になってきており、「TDSS」によるクリック詐欺の活動はいまだ続いていて、閉鎖による影響は一時的なものだったと考えられます。ただし、「TDSS」の感染数および通信量は、閉鎖の影響を受けておらず、クリック詐欺だけが影響を受けていることが明らかとなりました。

「TDSS」と「ZeroAccess」はどちらもクリック詐欺を行っているため、さらに利益を生むために、双方のURLを交換した可能性があるとトレンドマイクロは考察しています。また、「ZeroAccess」の閉鎖は、金銭収集をたくらむ「TDSS」に悪影響を与えましたが、「TDSS」の感染や通信はこれまでと変わらないことから、「TDSS」は他のボットネットからも利益を得ているとしています。

  • フラウネッツ
  • セキュリティブログ
フラウネッツ
セキュリティブログ