ファーミング詐欺とは目的が違うんだろうけど - 致命的なダメージとなる事例

トレンドマイクロ社の今回のブログでは、TROJ_DNSCHANGの名称で新たな変種が記載されており、これがネタとなっております。
こういう事例はかなり昔からあって。
PCのネットワーク設定を変更するDNSChangerの登場は2005年ですね、それ以前にもあったような気がしますが。
自分のメモをザッと検索したらば、2003年にはhostsファイルを改ざん・または勝手に作成する手口についての記載がありました。

Host File Hijackerとは
IPアドレスとホスト名を記載し、ホスト名（www.example.comなど）での接続先のサーバーとなるIPアドレスを登録して対応付ける仕組み。
Windows XPならば、C:\WINDOWS\system32\drivers\etc\hosts に設置する。
DNSサーバーへの照会よりも優先される。
言い換えると、マルウェア感染時にhostsファイルに虚偽のエントリーを含むhostsファイルを設置されると、延々と偽のサイトに接続しかねない。

感染させた悪意を持った人物が、多くのパソコンをうまーくコントロールしたいと考えるとして、どこか特定のサイトに接続を試みた際に全く違うサイトへ誘導するのは、修復をネット越しに指南する質問掲示板の回答者にとってはかなり面倒な話となる。
今より2年前、ファーミング詐欺とDNSはフィッシング詐欺を超える（Semplice, 2005年3月5日）を記載した。
凝ったもの - DNS Poisoningなどではなく、酷い内容のhostsファイルを作成して全然違うサイトに誘導したり、またDNS Changer系によりネットワーク接続を改ざんしたりする事例はよく目にするものだ。

あまりよく覚えていませんが、提出した検体についてメーカーの方より「socksレベルで接続先を変更しているものがあり、どうこう」と伺った記憶がありますが、メモを残し忘れたのが無念。
もっとさかのぼればチェルノブイリはアンチウイルスソフトメーカーへの接続を妨害したため、メーカーは修復ツールを配布するのに悩んだようですが、どういう仕組みでしたっけ？

枝葉の話になると収拾がつきませんので。
DNS設定をマルウェア感染時に変更されてしまうと、えげつない事態になるとだけまとめておきます。

そう言えば、ブロードバンドルーターの設定ってどうなのよと

雑文ですいませんが。
ブロードバンドルーターのパスワードとID（Semplice, 2005年1月15日）を掲載した時に、かなり不安を感じた事柄ですが。
今回トレンドマイクロ社のブログにて照会されているような、Rogue DNS Server（いかがわしいDNSサーバー）を参照するように設定を改変されちゃったらば、どうなるんだろうか。
LANセグメント内部のパソコンは、ブロードバンドルーターにて設定されたDNS サーバーによるリゾルバを元にして、どっかのサイトを閲覧するとして。
それが偽Googleであったらばとか、凄く気になる所です。

余談として

某著名スパイウェア対策サイトに属する回答者（毎度ながら某女史）が以前、hostfile hijackerもしくはdns haijackerによる影響を受けている可能性が極めて高い質問に対してですね。
「指示に従わない！ああいうのはどうこう」と、凄まじい非難を質問者に対して裏で書いていたのを思い出した。

#と言いますか。接続できないんだから、仕方ないだろうに。

100歩譲って回答者が気付き難い事例であったとして、相当な場数を踏んでいなければ見抜けない特殊な事例だったとしてもだよ。
指示に従おうと努力してもうまくいかず挫折し、結果を正直に記載した無垢な方に対してだよ、そりゃ無いだろうと。

目に余ったので、横レスで間に入ろうとしたものの、最終投稿日もかなり過ぎており。
結局Lucaさんは事なかれ主義的見解で、見なかった事としました。

今でも気にかかり、自身の態度に対して言葉に尽くせないような後悔をしています。
当時は逆恨みとかを避けたく、現在の「あー、どうにでもなれ」的な達観的スタンスにはなれませんでしたので。

関連記事

HijackThisのO17エントリ（Domain hijack）とDNS（LucaBlog, 2006年12月13日）