Semplice - Soberウイルスの謎

Soberウイルスの不思議な挙動

　先月末の話なのだが。2年以上もの間活動し多くの亜種が出現しているSoberウイルスの感染数が、かなり拡大しているそうだ。
　FBI や CIA からのメールを装う Sober-Z ワームが出現（Sophos）
　Sober-Z ワーム感染の急速な広がりに関する最新ニュース（Sophos）

　数日前、このSoberウイルスがアップデートする際に利用するサイトのURIの推定に成功したとの記事があったのだが。

　フィンランドのウイルス対策企業F-Secureは米国時間8日、同ワームが利用するアルゴリズムを解析し、特定の日にワームが確認するサイトの正確なURLを算出できるようになったと述べた。
　Soberは、乱数を使ってURLを生成するアルゴリズムを利用している。こうしたURLは日ごとに生成されるが、それらのうちの99％は存在しない。（中略）だが、ウイルス作者は任意の日に用いるURLをあらかじめ算出しておくことができ、全感染マシン上で何かを実行しようと考えたときに適切なURLを登録して、プログラムをアップロードする。
　2006年1月5日の攻撃は防げるか--ウイルス対策企業が「Sober」のアルゴリズムを解析（CNET Japan）

　原文はHow Sober activates（F-Secure）なのだが、CNET Japanでの和訳はほとんど内容は同じである。

　以前より何となく不思議さを感じていたのだが、このSoberウイルスのユニークな点は、NTPサーバーに接続し時刻を更新させようと試みる点だ。何故にわざわざ独自に時刻合わせを行う必要があるのだろうか？パソコンの時刻設定が1秒や2秒遅れていたって、別に深刻な問題を生むとは思われないんだが。
　またSoberウイルスは感染したパソコンのネットワーク設定にて登録されているものとは別のDNSサーバーを利用する。別に感染者の職場のDNSサーバーでも、OCNやODNなどのプロバのDNSサーバーでもいいじゃないか、と。
　何故なんだろうか。

　あくまでも思いつきに過ぎない仮定なんだけど。これはSoberウイルスがアップデート目的で利用するサイトを、誰かが突き止めようとする試みを阻害するのが目的なのではなかろうか。
　なお正直に書いてしまうのだが。自分は、NTPサーバーと外部のDNSサーバーへの接続を妨害した場合、Soberウイルス感染マシンがどのように振舞うのかを実際に観察はしていない。いずれ機会があったらばチャレンジしてみたいので、いい課題として残しておく。

Soberウイルスは何故Botではないのだ？

　またこのSoberウイルスは、今流行りのBotではない。Symantec Security Response - ウイルス辞典よりsoberで検索したのだが、Bot活動を行う亜種などはリストアップされていないのだ。Botネットワークを構築した方が、金銭的に「おいしい」だろうに。
　今時のBotはスパムメールの送信やいずこかのサイトへの攻撃などを目的としており、このBotネットワークを「レンタル」し利益を得ているグループも存在するようだ。
　この点について面白い解説を見つけたので、引用して紹介する。

　●MyTob対Sober
　これを見ればMyTobの変種作成者の戦略がどんなものであるか、よくわかります。彼らはアウトブレイクのインパクトを巧みにコントロールすること、botnet上で悪さをする感染済みシステムの数を一定数に保つこと、このマルウェアについての宣伝が最小限となることを望み、不法で金銭を目的とした活動について、FBIが注目することを避けたいという意図は明らかです。
　その一方、Soberのアウトブレイクは激しく、突然で、超大規模なものでした。
　さて、機能の面でSoberとMyTobの主な違いは何で、それがどのように散布の戦略に結びついているのでしょうか。その答えはbotです。SoberはMyTobと違い、botを埋め込まない数少ないマス・メーラーで、それゆえ金銭的に「おいしい」botnetを作成することを目的としたものではありません。
　フォーティネット社ウイルス対処状況レポート

　マルウェアを用いた事業戦略（か？）の点においてSobarは、Botネットワークを作成するようなマルウェアとは目的のようなものが異なり、従来のようなマスメーリングによる大量送信での感染者拡大そのものが目的なのだろうか。
　このSoberは単純に、感染者数の増大を目的とした愉快犯なのだろうか。