インターポール、マイクロソフト、カスペルスキー、トレンドマイクロと協力しSimdaボットネットのテイクダウンを行いました。
カスペルスキーから出向している同僚から報告があるように、このマルウェアは多くの解析妨害機能があるため、アンチウイルスベンダーのサンドボックスではうまく検知することができていませんでした。
そこで、サイバーディフェンス研究所が手動で解析を実施し、その解析結果を元にしたアンパッカーと暗号化された通信、設定ファイルの復号ツールをマイクロソフトやアンチウイルスベンダーに提供し、全容の解明に協力しました。
また、すでに感染しているユーザへの対応として、次の3つ(3本の矢)を用意しました。
各矢の守備範囲は次の表のようになっています。
※ 様々な条件により、マルウェア検体自身が削除される場合とされない場合がある
この中で感染者数が多いのが2番と3番だと思われます。
個人的にオススメする一番手っ取り早くて確実な確認方法はhostsファイルの手動確認です。
カスペルスキーから出向している同僚から報告があるように、このマルウェアは多くの解析妨害機能があるため、アンチウイルスベンダーのサンドボックスではうまく検知することができていませんでした。
そこで、サイバーディフェンス研究所が手動で解析を実施し、その解析結果を元にしたアンパッカーと暗号化された通信、設定ファイルの復号ツールをマイクロソフトやアンチウイルスベンダーに提供し、全容の解明に協力しました。
また、すでに感染しているユーザへの対応として、次の3つ(3本の矢)を用意しました。
- IPアドレスを元にした感染確認サイト Simda Bot Free IP Scanner (カスペルスキー提供)
- アンチウイルスソフトのフリー版 (カスペルスキー、トレンドマイクロ提供)
- hostsファイル改ざんの自動/手動確認サイト (サイバーディフェンス研究所提供)
各矢の守備範囲は次の表のようになっています。
No. | 感染時期、感染環境など | IP Scanner |
アンチウイルスソフト | 自動 hosts check | 手動 hosts check |
1 |
自己消滅前(※) | ○ | ○ | ○ | ○ |
2 |
自己消滅後 | ○ | × | ○ | ○ |
3 |
テイクダウン前のマルウェア活動 | × | ○ | ○ | ○ |
4 |
テイクダウン後のマルウェア活動 | ○ | ○ | ○ | ○ |
5 |
亜種への対応 | △ | △ | △ | ○ |
6 |
マルウェア感染活動前 | × | ○ | × | × |
7 |
動的IPアドレス環境での感染 | × | ○ | ○ | ○ |
8 |
プライベートIPアドレス環境での感染 | × | ○ | ○ | ○ |
この中で感染者数が多いのが2番と3番だと思われます。
個人的にオススメする一番手っ取り早くて確実な確認方法はhostsファイルの手動確認です。