アンラボ(キム・ホンソン代表) は、3月4日、韓国40のウェブサイトを対象にDDoS(分散サービス拒否)攻撃が発生したと発表した。これに伴い、同社は、ASEC(セキュリティ対応センター)やCERT(コンピュータインシデント対応センター)をはじめとした全社緊急対応体制を稼動している。

 今回の攻撃は、2009年7月7日から9日まで韓国で23のウェブサイトを狙った7.7DDoSサイバーテロと類似の攻撃。4日午前10時の攻撃対象は韓国29のウェブサイトで、同日午後6時30分には韓国40のウェブサイトへの攻撃が予測されている。

 DDoS攻撃を誘発するマルウェアは、ntcm63.dll、SBUpdate.exe、ntds50.dll、watcsvc.dll、soetsvc.dll、mopxsvc.dll、SBUpdate.exeなど。これらのマルウェアがインストールされたパソコンは、いわゆる「ゾンビパソコン」となって一斉に対象のウェブサイトを攻撃する。

 同社は、3月3日に最初の報告を受け分析した結果、攻撃対象と攻撃見解を把握するとともに、ゾンビパソコンを最小化するために韓国で専用ワクチンを迅速に開発し提供を開始した。現在、6種のマルウェア感染パソコン数(アンラボ確認済み)は、韓国内で6779台となっている。

 マルウェアが配布した経路は、韓国P2Pサイトのシェアボックスとスーパーダウンであることが判明した。攻撃者は、これらのサイトをハッキングし、シェアボックスのアップデートファイルとスーパーダウンのサイトにアップロードされた一部ファイルにマルウェアを挿入して配布したものとみられる。配布時刻は、3月3日7時から9時ごろと推定されている。