Conficker

Discussion in '警戒!' started by Marie, Jan 23, 2009.

  1. Marie

    Marie Administrator Staff Member

    Conficker.B の新亜種 Conficker.B の詳細については、MMPC (Microsoft Malware Protection Center) に掲載していますが、現状日本語情報が無いため、こちらにAnalysisの抄訳を掲載しておきます。
    原典は、http://www.microsoft.com/security/portal/Entry.aspx?name=Worm:Win32/Conficker.B となります。

    技術的な情報

    Worm:Win32/Conficker.B は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上で別のコンピューターを感染させるワームです。

    ファイル共有を有効にしている場合、この脆弱性が悪用され、リモートでコードが実行される可能性があります。また、リムーバブル ドライブで蔓延し、管理者パスワードを脆弱にする場合があります。いくつかの重要なシステム サービスやセキュリティ製品が無効になります。

    感染

    Worm:Win32/Conficker.B は、Windows のシステム フォルダーに <random>.dll の名を使用し、それ自身を隠し DLL ファイルとしてコピーします。悪用に失敗すると、次のフォルダーに同じパラメーターでそれ自身をコピーするよう試行します。

    %ProgramFiles%\Internet Explorer
    %ProgramFiles%\Movie Maker

    次のレジストリ エントリを作成して、Windows が起動した際に、ドロップされたコピーを常に実行させます。

    値の追加: "<random string>"
    データ: "rundll32.exe <system folder>\<malware file name>.dll,<malware parameters>"
    サブキー: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    また、システム ファイル svchost.exe が netsvcs グループを読み込む時に、起動しているサービスとしてそれ自身をロードします。

    さらに、次のキーでそれ自身を登録して、偽のサービスとしてロードする可能性があります:

    HKLM\SYSTEM\CurrentControlSet\Services

    次の文字列から 2 種類を組み合わせて作成した表示名を使用する可能性があります:
    Boot
    Center
    Config。。。。


    http://blogs.technet.com/jpsecurity/archive/2009/01/14/3181781.aspx
     
  2. Miyuki

    Miyuki Administratrix Staff Member

    依然猛威を振るう同ワームの根絶を目指す

    (2009年01月15日)
     米国Microsoftは、依然として猛威を振るう「Conficker」ワームを除去するための無償セキュリティ・ツールをアップデートした。同ワームは、昨年のパッチ公開後も重大な脆弱性が残っている複数のサーバ製品に影響する。

     Microsoft の公式ブログによると、「Malicious Software Removal Tool(MSRT、悪意のあるソフトウェアの削除ツール)」の最新アップデート版は、サーバに感染して他のマルウェアをダウンロードしようとする 「Conficker」ワームへの感染を除去できるという。

     ConfickerはWindows Serverサービスの脆弱性を狙う。Microsoftはこの欠陥の重大性を認識し、昨年10月23日にWindows 2000、XP、Vista、Server 2003、Server 2008を対象に緊急パッチを出していた。

     今回、サーバに感染する「Win32/Conficker.B」という新亜種が発見された。攻撃者が未パッチのサーバに悪意あるリモート・プロシージャ・コール(RPC)を行うと、システムが感染し、サーバ上で任意のコードを実行できるという。

     Microsoft のクリスチャン・クラヨベアヌ(Cristian Craioveanu)氏とジブ・マダー(Ziv Mador)氏は、同社のセキュリティ・ブログ「Microsoft Malware Protection Center」に、「Conficker.Bはパスワードを推測して他の共有ネットワーク・マシンにそれ自身の複製を作ろうとするなど、これまでと違うや り方で広がる」と記している。また、リムーバブル・メディアを介して拡大することもある。

     Conficker は検出されるのを避けるため、いくつかのトリックを使う。その1つが、圧縮と暗号化を使うことで、ウイルス対策ソフトの目をくらましてコードの検出を難し くする手法“ポリモーフォズムâ€だ。「さらに、ファイルの検出を難しくし、主要なアクセス権まで改竄されてしまう」(同ブログより)Conficker.B の拡大で最も被害を受けているのは、大規模ネットワークを運用しているユーザーだ。同社によると、すでに米国、メキシコ、フランス、スペイン、カナダ、イ タリア、ブラジル、韓国、ドイツ、マレーシア、チェコ共和国のシステムが影響を受けているという。

     MSRT (悪意のあるソフトウェアの削除ツール)は、PCをスキャンしてマルウェアを除去するだけのシンプルなセキュリティ・ツールだ。Microsoftは Windows PCとWindowsサーバに甚大な被害を及ぼすマルウェアを少しでも除去できるよう、同ツールのサポートに投資してきた。同社は、共有ネットワークのパ スワードを強化してからMSRTのスキャンを実行するよう勧めている。

     ただし、感染したコンピュータでは「Windows Update」にアクセスできないことがある。そこでMicrosoftは、まずクリーンなマシンにMSRTをダウンロードしてから感染マシンに適用する方法も紹介している。

     フィンランドのセキュリティ・ベンダー、F-Secureで最高リサーチ責任者(CRO)を務めるミッコ・ヒッポネン(Mikko Hypponen)氏は、「2週間ほど前からConfickerがヨーロッパ全域で急速に広がりつつある」と懸念を表明した。

     F -SecureがConfickerを分析したところ、C&C(Command and Control)サーバに対してドメイン名を生成するアルゴリズムを発見した。「ドメイン名の生成後、マルウェアの作者はこれらドメイン名の1つを実在す るWebサイトに変え、感染したPCはそのサイトからマルウェアのアップデート版や命令を受けることになる」とヒッポネン氏は説明する。

     この手口は、Mebrootをはじめとする他のボットネットでも使われてきた。C&CのWebサイトを閉鎖するのはきわめて難しい。数百もあるC&Cサイトのうち、どれが使われるかを突き止めるのが困難だからだ。「実にやっかいな手口だ」とヒッポネン氏。

     F -Secureは感染の疑いがあるコンピュータの台数を推計するため、このアルゴリズムで生成されたドメイン名をいくつか登録してみた。その結果、台数は 1月13日時点で250万台に上った。さらに翌14日には、命令を受けるため登録ドメイン名にポーリングしたコンピュータが350万台以上に及んだ。

      だが、F-Secureのアナリストらは、感染マシンの実数はこれよりはるかに多いと考えている。「コンピュータの感染以外の悪意のある活動は、 Conficker.Bのコンピュータ・ネットワークでは見られなかった」とヒッポネン氏は述べる。ただし、感染マシンは巨大なボットネットを形成するた め、予想できない大惨事につながる危険をはらんでいる。

     初期のConfickerは、PCのDNS(Domain Name System)設定を改竄することで、ブラウザのアドレス・バーに表示されているのとは異なるWebサイトにアクセスさせるというものだった。

      「そのときはユーザーがGoogle.comから広告だらけのロシアのWebサイトに飛ばされた。広告のポップアップが出ることもあった。いずれの場合 も、Confickerのコントローラはこれら広告に膨大なトラフィックを流し込むことで不正な利益をあげていたようだ」(ヒッポネン氏)
     なお、F-Secureは「Downandup」という独自のConficker除去ツールを作成した。
    (Jeremy Kirk/IDG News Serviceロンドン支局)

    http://www.computerworld.jp/news/sec/132090.html
     
  3. Naruto

    Naruto Administrator Staff Member

    (2009年01月19日)

    フィンランドのセキュリティ・ベンダーF-Secureは1月16日、1月12日~16日の4日間に「Conficker(別名「Downadup」)」ワームに感染したWindowsマシンの数は657万台に上り、わずか2週間ほどで全世界で897万台ものPCが同ワームの犠牲になったことを明らかにした。

     F-Secureの研究員、トーニ・コイブネン(Toni Koivunen)氏は、同社のブログで、「Confickerに感染するPCの台数は急激に増えている。この4日間で同ワームに感染したマシンの数は、 240万台から897万台へと一気に増加したと見られる」と述べている。

    コイブネン氏は、1月13日の時点でConfickerに感染したPC数を240万台と見積もっていたが、翌日には350万台としている。これは、24時間で110万台のPCが新たに感染したことになる。

     F -Secureの最高調査責任者、ミッコ・ヒッポネン(Mikko Hypponen)氏は、電子メールでの取材に対し、「これほどの急激な感染拡大は過去に例を見ない。感染の規模でも、「Loveletter」や「Melissa」「Sasser」「Blaster」といった、過去最大級のマルウェアに匹敵する」と回答している。

     Confickerは、米国MicrosoftのWindows 2000/XP/Vista/Server 2003/Server 2008のServerサービスに存在する脆弱性を悪用するもの(関連記事)。 Microsoftは昨年10月23日に緊急修正パッチをリリースすることで、この脆弱性に対処した。しかしながら、セキュリティ・ベンダーの米国 Qualysによると、いまだに同修正パッチを適用していないPCは全体の3分の1にも上る。こうしたPCが、Confickerの犠牲になっているようだ。

     コイブネン氏は、897万台というConfickerの被害数について、ハッカーが管理しているサーバとワームとの通信を傍受することで判明したとしている。

     Conficker は、PCに感染すると、利用可能なドメインのリストを作成し、そのうちの1つを利用して悪意のあるサーバに接続した後、ハイジャックしたPCに新たなマルウェアをダウンロードする。F-Secureは、これらのドメインのいくつかを登録し、そこを通るトラフィックを監視しているというのだ。

     具体的には、リストに登録されたドメインに対するアクセスのログを分析することで、Confickerに感染したマシンを介して新たにワームが潜入したPCの台数を算出している。こうして得られた数値を基に、全体の感染数を割り出しているのである。

     F-Secureが公表したサンプル・ログを見ると、Confickerに感染した12台のPCを通じて186台のPCが新たに感染したことがわかる。なかには、1台で116台ものマシンを感染させたケースもあった。

     Conficker の感染が急速に拡大している事態を重く見たMicrosoftは1月13日、同社の無償アンチマルウェア・ユーティリティ「Malicious Software Removal Tool(MSRT、悪意のあるソフトウェアの削除ツール)」に対し、Conficker除去ツールを追加して配布した(関連記事)。

     Microsoft のセキュリティ研究者は、「緊急修正パッチがまったくインストールされていなかったり、すべてのコンピュータにインストールされていなかったりするケースがある」と指摘したうえで、すみやかに緊急修正パッチをインストールするとともに、MSRTの最新版を使ってコンピュータからConfickerを駆除するよう呼びかけている。

    (Gregg Keizer/Computerworld米国版

    http://www.computerworld.jp/topics/vs_2/132329.html
     
  4. Godzilla

    Godzilla Super Moderator Staff Member

  5. Miyuki

    Miyuki Administratrix Staff Member

  6. Miyuki

    Miyuki Administratrix Staff Member

    動的に蔓延させる可能性のあるコンピューター ワームです。

    IT プロフェッショナルの皆さんは「Windows を Conficker ワームから守る 」をご覧ください。
    トピック
    私のコンピューターは Conficker ワームに感染していますか? 私のコンピューターは Conficker ワームに感染していますか?
    Conficker ワームは何をしますか? Conficker ワームは何をしますか?
    Conficker ワームはどのように機能しますか? Conficker ワームはどのように機能しますか?
    Conficker ワームをどのように駆除すればよいですか? Conficker ワームをどのように駆除すればよいですか?
    Conficker ワームに関する更に技術的な情報はどこから入手できますか?また、Conficker ワームに対してコンピューターを最新の状態に保つにはどのようにすればよいですか? Conficker ワームに関する更に技術的な情報はどこから入手できますか?また、Conficker ワームに対してコンピューターを最新の状態に保つにはどのようにすればよいですか?
    私のコンピューターは Conficker ワームに感染していますか?

    おそらく感染していないでしょう。マイクロソフトは 2008 年 10 月に Conficker を防御するために、セキュリティ情報 (MS08-067) を公開しました。

    みなさんのコンピューターが最新の更新プログラムを使用してアップデートされ、ウイルス対策ソフトウェアが最新である場合、おそらく Conficker に感染していないと思われます。

    Conficker が懸念される場合、次のステップに従ってください。

    1. コンピューターの構成の検証および更新プログラムを確認します: http://update.microsoft.com/microsoftupdate

    2. http://update.microsoft.com/microsoftupdate にアクセス不可能な場合、http://safety.live.com にアクセスし、フル スキャンを実行してください。

    3. http://safety.live.com にアクセスできない場合、マイクロソフト セキュリティ情報センターまでご連絡ください。こちらでは、ウイルスおよびその他のセキュリティ関連のサポートを提供しています。
    ページのトップへページのトップへ
    Conficker ワームは何をしますか?

    これまでにセキュリティ リサーチャーは、イン ザ ワイルドのこのワームの以下の亜種を確認しています。

    • Win32/Conficker.A (英語情報) は2008 年 11 月 21 日にマイクロソフトに報告されました。

    注: Worm:Win32/Conficker.A に関する抄訳をこちらのブログに掲載しています。日本語情報はこちらをご覧ください。Win32/Conficker.A はマイクロソフトに 2008 年 11 月 21 日に報告されました。

    • Win32/Conficker.B (英語情報) は 2008 年 12 月 29 日にマイクロソフトに報告されました。

    注: Worm:Win32/Conficker.B に関する抄訳をこちらのブログに掲載しています。日本語情報はこちらをご覧ください。

    • Win32/Conficker.C (英語情報) は 2009 年 2 月 20 日にマイクロソフトに報告されました。

    注: Worm:Win32/Conficker.C に関する抄訳をこちらのブログに掲載しています。日本語情報はこちらをご覧ください。

    • Win32/Conficker.D (英語情報) は 2009 年 3 月 4 日にマイクロソフトに報告されました。

    • Win32/Conficker.E (英語情報) は 2009 年 4 月 8 日にマイクロソフトに報告されました。

    Win32/Conficker.B (英語情報) はファイル共有や USB ドライブ (サム ドライブとも呼ばれています) などのリムーバブルドライブを介し蔓延する可能性があります。このワームはリムーバブルドライブにファイルを追加するため、そのドライブが使用される際に、自動再生ダイアログ ボックスが 1 つの追加のオプションを表示します。

    また、Conficker ワームはコンピューターの重要なサービスを無効にする可能性もあります。

    下の自動再生ダイアログ ボックスのスクリーンショットで、[Open folder to view files 発行元は指定されていません] のオプションは Conficker ワームにより追加されたものです。そして、下のスクリーンショットでハイライトされているオプション [フォルダを開いてファイルを表示 – エクスプローラ使用] が Windows が提供する (ユーザーが使用すべき) オプションです。

    最初のオプションを選択した場合、ワームが実行され、ワーム自体をその他のコンピューターに蔓延し始める可能性があります。

    http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx
     

Share This Page