Conficker.B の新亜種 Conficker.B の詳細については、MMPC (Microsoft Malware Protection Center) に掲載していますが、現状日本語情報が無いため、こちらにAnalysisの抄訳を掲載しておきます。
原典は、http://www.microsoft.com/security/portal/Entry.aspx?name=Worm:Win32/Conficker.B となります。
技術的な情報
Worm:Win32/Conficker.B は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上で別のコンピューターを感染させるワームです。
ファイル共有を有効にしている場合、この脆弱性が悪用され、リモートでコードが実行される可能性があります。また、リムーバブル ドライブで蔓延し、管理者パスワードを脆弱にする場合があります。いくつかの重要なシステム サービスやセキュリティ製品が無効になります。
感染
Worm:Win32/Conficker.B は、Windows のシステム フォルダーに <random>.dll の名を使用し、それ自身を隠し DLL ファイルとしてコピーします。悪用に失敗すると、次のフォルダーに同じパラメーターでそれ自身をコピーするよう試行します。
%ProgramFiles%\Internet Explorer
%ProgramFiles%\Movie Maker
次のレジストリ エントリを作成して、Windows が起動した際に、ドロップされたコピーを常に実行させます。
値の追加: "<random string>"
データ: "rundll32.exe <system folder>\<malware file name>.dll,<malware parameters>"
サブキー: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
また、システム ファイル svchost.exe が netsvcs グループを読み込む時に、起動しているサービスとしてそれ自身をロードします。
さらに、次のキーでそれ自身を登録して、偽のサービスとしてロードする可能性があります:
HKLM\SYSTEM\CurrentControlSet\Services
次の文字列から 2 種類を組み合わせて作成した表示名を使用する可能性があります:
Boot
Center
Config。。。。
http://blogs.technet.com/jpsecurity/archive/2009/01/14/3181781.aspx
原典は、http://www.microsoft.com/security/portal/Entry.aspx?name=Worm:Win32/Conficker.B となります。
技術的な情報
Worm:Win32/Conficker.B は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上で別のコンピューターを感染させるワームです。
ファイル共有を有効にしている場合、この脆弱性が悪用され、リモートでコードが実行される可能性があります。また、リムーバブル ドライブで蔓延し、管理者パスワードを脆弱にする場合があります。いくつかの重要なシステム サービスやセキュリティ製品が無効になります。
感染
Worm:Win32/Conficker.B は、Windows のシステム フォルダーに <random>.dll の名を使用し、それ自身を隠し DLL ファイルとしてコピーします。悪用に失敗すると、次のフォルダーに同じパラメーターでそれ自身をコピーするよう試行します。
%ProgramFiles%\Internet Explorer
%ProgramFiles%\Movie Maker
次のレジストリ エントリを作成して、Windows が起動した際に、ドロップされたコピーを常に実行させます。
値の追加: "<random string>"
データ: "rundll32.exe <system folder>\<malware file name>.dll,<malware parameters>"
サブキー: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
また、システム ファイル svchost.exe が netsvcs グループを読み込む時に、起動しているサービスとしてそれ自身をロードします。
さらに、次のキーでそれ自身を登録して、偽のサービスとしてロードする可能性があります:
HKLM\SYSTEM\CurrentControlSet\Services
次の文字列から 2 種類を組み合わせて作成した表示名を使用する可能性があります:
Boot
Center
Config。。。。
http://blogs.technet.com/jpsecurity/archive/2009/01/14/3181781.aspx