Conficker

[Marie]

Conficker.B の新亜種 Conficker.B の詳細については、MMPC (Microsoft Malware Protection Center) に掲載していますが、現状日本語情報が無いため、こちらにAnalysisの抄訳を掲載してお きます。
原典は、http://www.microsoft.com/security/po...%2fConficker.B となります。

技術的な情報

Worm:Win32/Conficker.B は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上で別のコンピューターを感染させるワームです。

ファイル共有を有効にしている場合、この脆弱性が悪用され、リモートでコードが実行される可能性があります 。また、リムーバブル ドライブで蔓延し、管理者パスワードを脆弱にする場合があります。いくつかの重要なシステム サービスやセキュリティ製品が無効になります。

感染

Worm:Win32/Conficker.B は、Windows のシステム フォルダーに <random>.dll の名を使用し、それ自身を隠し DLL ファイルとしてコピーします。悪用に失敗すると、次のフォルダーに同じパラメーターでそれ自身をコピーする よう試行します。

%ProgramFiles%\Internet Explorer
%ProgramFiles%\Movie Maker

次のレジストリ エントリを作成して、Windows が起動した際に、ドロップされたコピーを常に実行させます。

値の追加: "<random string>"
データ: "rundll32.exe <system folder>\<malware file name>.dll,<malware parameters>"
サブキー: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

また、システム ファイル svchost.exe が netsvcs グループを読み込む時に、起動しているサービスとしてそれ自身をロードします。

さらに、次のキーでそれ自身を登録して、偽のサービスとしてロードする可能性があります:

HKLM\SYSTEM\CurrentControlSet\Services

次の文字列から 2 種類を組み合わせて作成した表示名を使用する可能性があります:
Boot
Center
Config。。。。


http://blogs.technet.com/jpsecurity/...4/3181781.aspx

[Miyuki]

依然猛威を振るう同ワームの根絶を目指す

（2009年01月15日）
　米国Microsoftは、依然として猛威を振るう「Conficker」ワームを除去するための無償セ キュリティ・ツールをアップデートした。同ワームは、昨年のパッチ公開後も重大な脆弱性が残っている複数の サーバ製品に影響する。

　Microsoft の公式ブログによると、「Malicious Software Removal Tool（MSRT、悪意のあるソフトウェアの削除ツール）」の最新アップデート版は、サーバに感染して他 のマルウェアをダウンロードしようとする 「Conficker」ワームへの感染を除去できるという。

　ConfickerはWindows Serverサービスの脆弱性を狙う。Microsoftはこの欠陥の重大性を認識し、昨年10月23日に Windows 2000、XP、Vista、Server 2003、Server 2008を対象に緊急パッチを出していた。

　今回、サーバに感染する「Win32/Conficker.B」という新亜種が発見された。攻撃者が未パッチのサーバに悪意あるリモート・プロシ ージャ・コール（RPC）を行うと、システムが感染し、サーバ上で任意のコードを実行できると いう。

　Microsoft のクリスチャン・クラヨベアヌ（Cristian Craioveanu）氏とジブ・マダー（Ziv Mador）氏は、同社のセキュリティ・ブログ「Microsoft Malware Protection Center」に、「Conficker.Bはパスワードを推測して他の共有ネットワーク・マシンにそれ自 身の複製を作ろうとするなど、これまでと違うや り方で広がる」と記している。また、リムーバブル・メディアを介して拡大することもある。

　Conficker は検出されるのを避けるため、いくつかのトリックを使う。その1つが、圧縮と暗号化を使うことで、ウイルス 対策ソフトの目をくらましてコードの検出を難し くする手法“ポリモーフォズム”だ。「さらに、ファイルの検出を難しくし、主要なアクセス権まで改竄されて しまう」（同ブログより）Conficker.B の拡大で最も被害を受けているのは、大規模ネットワークを運用しているユーザーだ。同社によると、すでに米 国、メキシコ、フランス、スペイン、カナダ、イ タリア、ブラジル、韓国、ドイツ、マレーシア、チェコ共和国のシステムが影響を受けているとい う。

　MSRT （悪意のあるソフトウェアの削除ツール）は、PCをスキャンしてマルウェアを除去するだけのシンプルなセキ ュリティ・ツールだ。Microsoftは Windows PCとWindowsサーバに甚大な被害を及ぼすマルウェアを少しでも除去できるよう、同ツールのサポート に投資してきた。同社は、共有ネットワークのパ スワードを強化してからMSRTのスキャンを実行するよう勧めている。

　ただし、感染したコンピュータでは「Windows Update」にアクセスできないことがある。そこでMicrosoftは、まずクリーンなマシンにMSR Tをダウンロードしてから感染マシンに適用する方法も紹介している。

　フィンランドのセキュリティ・ベンダー、F-Secureで最高リサーチ責任者（CRO）を務めるミッコ・ヒッポネン（Mikko Hypponen）氏は、「2週間ほど前からConfickerがヨーロッパ全域で急速に広がりつつある」 と懸念を表明した。

　F -SecureがConfickerを分析したところ、C＆C（Command and Control）サーバに対してドメイン名を生成するアルゴリズムを発見した。「ドメイン名の生成後、マル ウェアの作者はこれらドメイン名の1つを実在す るWebサイトに変え、感染したPCはそのサイトからマルウェアのアップデート版や命令を受けることになる 」とヒッポネン氏は説明する。

　この手口は、Mebrootをはじめとする他のボットネットでも使われてきた。C＆CのWebサイトを閉 鎖するのはきわめて難しい。数百もあるC＆Cサイトのうち、どれが使われるかを突き止めるのが困難だからだ 。「実にやっかいな手口だ」とヒッポネン氏。

　F -Secureは感染の疑いがあるコンピュータの台数を推計するため、このアルゴリズムで生成されたドメイン 名をいくつか登録してみた。その結果、台数は 1月13日時点で250万台に上った。さらに翌14日には、命令を受けるため登録ドメイン名にポーリングし たコンピュータが350万台以上に及んだ。

　 だが、F-Secureのアナリストらは、感染マシンの実数はこれよりはるかに多いと考えている。「コンピュータの感 染以外の悪意のある活動は、 Conficker.Bのコンピュータ・ネットワークでは見られなかった」とヒッポネン氏は述べる。ただし 、感染マシンは巨大なボットネットを形成するた め、予想できない大惨事につながる危険をはらんでいる。

　初期のConfickerは、PCのDNS（Domain Name System）設定を改竄することで、ブラウザのアドレス・バーに表示されているのとは異なるWebサイト にアクセスさせるというものだった。

　 「そのときはユーザーがGoogle.comから広告だらけのロシアのWebサイトに飛ばされた。広告のポ ップアップが出ることもあった。いずれの場合 も、Confickerのコントローラはこれら広告に膨大なトラフィックを流し込むことで不正な利益をあげ ていたようだ」（ヒッポネン氏）
　なお、F-Secureは「Downandup」という独自のConficker除去ツールを作成した。
(Jeremy Kirk／IDG News Serviceロンドン支局)

http://www.computerworld.jp/news/sec/132090.html

[Naruto]

（2009年01月19日）

フィンランドのセキュリティ・ベンダーF-Secureは1月16日、1月12日～16日の4日間に「Conficker（別名「Downadup」 ）」ワームに感染したWindowsマシンの数は657万台に上り、わずか2週間ほどで全世界で897万台 ものPCが同ワームの犠牲になったことを明らかにした。

　F-Secureの研究員、トーニ・コイブネン（Toni Koivunen）氏は、同社のブログで、「Confickerに感染するPCの台数は急激に増えている。 この4日間で同ワームに感染したマシンの数は、 240万台から897万台へと一気に増加したと見られる」と述べている。

コイブネン氏は、1月13日の時点でConfickerに感染したPC数を240万台と見積もっていたが、 翌日には350万台としている。これは、24時間で110万台のPCが新たに感染したことにな る。

　F -Secureの最高調査責任者、ミッコ・ヒッポネン（Mikko Hypponen）氏は、電子メールでの取材に対し、「これほどの急激な感染拡大は過去に例を見ない。感染 の規模でも、「Loveletter」や「Melissa」「Sasser」「Blaster」といった、 過去最大級のマルウェアに匹敵する」と回答している。

　Confickerは、米国MicrosoftのWindows 2000/XP/Vista/Server 2003/Server 2008のServerサービスに存在する脆弱性を悪用するもの（関連記事）。 Microsoftは昨年10月23日に緊急修正パッチをリリースすることで、この脆弱性に対処した。しか しながら、セキュリティ・ベンダーの米国 Qualysによると、いまだに同修正パッチを適用していないPCは全体の3分の1にも上る。こうしたPC が、Confickerの犠牲になっているようだ。

　コイブネン氏は、897万台というConfickerの被害数について、ハッカーが管理しているサーバと ワームとの通信を傍受することで判明したとしている。

　Conficker は、PCに感染すると、利用可能なドメインのリストを作成し、そのうちの1つを利用して悪意のあるサーバに 接続した後、ハイジャックしたPCに新たなマルウェアをダウンロードする。F-Secureは、これらのドメインのいくつかを登録し、そこを通るトラフィックを監視しているというのだ。

　具体的には、リストに登録されたドメインに対するアクセスのログを分析することで、Confickerに 感染したマシンを介して新たにワームが潜入したPCの台数を算出している。こうして得られた数値を基に、全 体の感染数を割り出しているのである。

　F-Secureが公表したサンプル・ログを見ると、Confickerに感染した12台のPCを通じて186 台のPCが新たに感染したことがわかる。なかには、1台で116台ものマシンを感染させたケー スもあった。

　Conficker の感染が急速に拡大している事態を重く見たMicrosoftは1月13日、同社の無償アンチマルウェア・ ユーティリティ「Malicious Software Removal Tool（MSRT、悪意のあるソフトウェアの削除ツール）」に対し、Conficker除去ツールを追加 して配布した（関連記事）。

　Microsoft のセキュリティ研究者は、「緊急修正パッチがまったくインストールされていなかったり、すべてのコンピュー タにインストールされていなかったりするケースがある」と指摘したうえで、すみやかに緊急修正パッチをイン ストールするとともに、MSRTの最新版を使ってコンピュータからConfickerを駆除するよう呼びか けている。

(Gregg Keizer／Computerworld米国版

http://www.computerworld.jp/topics/vs_2/132329.html

[Godzilla]

* セキュリティ情報 MS08-067
http://www.microsoft.com/japan/techn.../MS08-067.mspx

* WSUS を構成する
http://technet.microsoft.com/ja-jp/wsus/default.aspx

* マイクロソフトの修正プログラムの管理に関する 10 の原則
http://technet.microsoft.com/en-us/l.../cc512589.aspx (英語情報)

* MS08-067 に関する SVRD のブログ:
http://blogs.technet.com/swi/archive...-MS08-067.aspx (英語情報)

[Miyuki]

Conficker.B の新亜種 Conficker.B の詳細については、MMPC (Microsoft Malware Protection Center) に掲載していますが、現状日本語情報が無いため、こちらにAnalysisの抄訳を掲載してお きます。
原典は、http://www.microsoft.com/security/po...%2fConficker.B となります。

http://blogs.technet.com/jpsecurity/...4/3181781.aspx

[Miyuki]

動的に蔓延させる可能性のあるコンピューター ワームです。

IT プロフェッショナルの皆さんは「Windows を Conficker ワームから守る 」をご覧ください。
トピック
私のコンピューターは Conficker ワームに感染していますか? 私のコンピューターは Conficker ワームに感染していますか?
Conficker ワームは何をしますか? Conficker ワームは何をしますか?
Conficker ワームはどのように機能しますか? Conficker ワームはどのように機能しますか?
Conficker ワームをどのように駆除すればよいですか? Conficker ワームをどのように駆除すればよいですか?
Conficker ワームに関する更に技術的な情報はどこから入手できますか？また、Conficker ワームに対してコンピューターを最新の状態に保つにはどのようにすればよいですか？ Conficker ワームに関する更に技術的な情報はどこから入手できますか？また、Conficker ワームに対してコンピューターを最新の状態に保つにはどのようにすればよいですか？
私のコンピューターは Conficker ワームに感染していますか?

おそらく感染していないでしょう。マイクロソフトは 2008 年 10 月に Conficker を防御するために、セキュリティ情報 (MS08-067) を公開しました。

みなさんのコンピューターが最新の更新プログラムを使用してアップデートされ、ウイルス対策ソフトウェアが 最新である場合、おそらく Conficker に感染していないと思われます。

Conficker が懸念される場合、次のステップに従ってください。

1. コンピューターの構成の検証および更新プログラムを確認します: http://update.microsoft.com/microsoftupdate

2. http://update.microsoft.com/microsoftupdate にアクセス不可能な場合、http://safety.live.com にアクセスし、フル スキャンを実行してください。

3. http://safety.live.com にアクセスできない場合、マイクロソフト セキュリティ情報センターまでご連絡ください。こちらでは、ウイルスおよびその他のセキュリティ関連のサポ ートを提供しています。
ページのトップへページのトップへ
Conficker ワームは何をしますか?

これまでにセキュリティ リサーチャーは、イン ザ ワイルドのこのワームの以下の亜種を確認しています。

• Win32/Conficker.A (英語情報) は2008 年 11 月 21 日にマイクロソフトに報告されました。

注: Worm:Win32/Conficker.A に関する抄訳をこちらのブログに掲載しています。日本語情報はこちらをご覧ください。Win3 2/Conficker.A はマイクロソフトに 2008 年 11 月 21 日に報告されました。

• Win32/Conficker.B (英語情報) は 2008 年 12 月 29 日にマイクロソフトに報告されました。

注: Worm:Win32/Conficker.B に関する抄訳をこちらのブログに掲載しています。日本語情報はこちらをご覧ください。

• Win32/Conficker.C (英語情報) は 2009 年 2 月 20 日にマイクロソフトに報告されました。

注: Worm:Win32/Conficker.C に関する抄訳をこちらのブログに掲載しています。日本語情報はこちらをご覧ください。

• Win32/Conficker.D (英語情報) は 2009 年 3 月 4 日にマイクロソフトに報告されました。

• Win32/Conficker.E (英語情報) は 2009 年 4 月 8 日にマイクロソフトに報告されました。

Win32/Conficker.B (英語情報) はファイル共有や USB ドライブ (サム ドライブとも呼ばれています) などのリムーバブルドライブを介し蔓延する可能性があります。このワームはリムーバブルドライブにファイル を追加するため、そのドライブが使用される際に、自動再生ダイアログ ボックスが 1 つの追加のオプションを表示します。

また、Conficker ワームはコンピューターの重要なサービスを無効にする可能性もあります。

下の自動再生ダイアログ ボックスのスクリーンショットで、[Open folder to view files 発行元は指定されていません] のオプションは Conficker ワームにより追加されたものです。そして、下のスクリーンショットでハイライトされているオプ ション [フォルダを開いてファイルを表示 – エクスプローラ使用] が Windows が提供する (ユーザーが使用すべき) オプションです。

最初のオプションを選択した場合、ワームが実行され、ワーム自体をその他のコンピューターに蔓延し始める可 能性があります。

http://www.microsoft.com/japan/prote...conficker.mspx