Conficker

コンピューターワーム

Conficker(別名DownupあるいはDownadupKido)は2008年11月に初めて検出されたMicrosoft Windowsオペレーティングシステムを標的とするコンピュータワームである[1]。Confickerは感染すると、Windowsソフトウェアの欠陥を利用して管理者のパスワード辞書攻撃し、ウイルス製作者が命令できるネットワーク上のコンピュータと接続する。Confickerの感染は急速に拡大し現在200ヶ国以上で700万を超える数の政府、企業、家庭のコンピュータがその制御下にあり、2003年のSQL Slammer以来最も規模が大きいと考えられている[2]。また、Confickerはありとあらゆる高度なマルウェア技術を使用しているため対策が非常に難しいものとなっている[3]

Conficker
正式名称 Conficker
別名
区分 不明
類型 コンピュータワーム
亜類型 コンピュータウイルス

歴史

編集

名称

編集

Confickerという名称の由来は英語の "configure" とドイツ語の "ficker" の混成語だと考えられている[4][5]。一方、マイクロソフトのアナリストはドメイン名trafficconverter.bizの一部を並べ替えたものだと説明している[6]。このドメインはConfickerの初期のバージョンで更新をダウンロードするのに使われた。

発見

編集

Confickerの最初の亜種は2008年11月初めに発見され、インターネットを通じてネットワークサービスの脆弱性を突くことで広がった。この脆弱性はWindows 2000Windows XPWindows VistaWindows Server 2003Windows Server 2008Windows Server 2008 R2 Betaに存在した[7]Windows 7もこの脆弱性の影響を受けたかもしれないが、Windows 7 Betaは2009年1月まで公開されなかった。マイクロソフトはその脆弱性を塞ぐ緊急不定期パッチを2008年10月23日に公開したが[8]、 多数のWindowsパーソナルコンピュータ(30%だと見積もられている)は2009年1月になってもこのパッチを適用していなかった[9]。 2つめの亜種は2008年12月に発見され、これはリムーバブルメディアネットワークファイル共有を通じて感染する機能が追加されたものだった[10]。 研究者はこの機能が感染が急速に拡大する決定的な要因になったと見ており、2009年1月までに900万[11][12][13]から1500万[14]台のパーソナルコンピュータがこれによって感染したと見積もられている。 アンチウイルスソフトウェアベンダーであるPanda Securityの報告では、200万台のコンピュータがActiveScanにより解析され約115,000台 (6%) がConfickerに感染していると診断された[15]

現在どの程度の数のコンピュータが感染しているかを見積もるのは困難である。何故なら、最近の亜種では拡散と更新の方法が変更されたからである[16]

動作

編集

Confickerが使用したほとんどの高度なマルウェア技術は過去に使われたか研究者によく知られたものであった。しかし、Confickerは沢山のそれらの技術を組み合わせることで駆除を極度に困難にした[17]。 また、ワーム製作者はネットワーク管理者と司法当局によるマルウェア対策を観測し、ワームが抱える欠陥の対策を施した新しい亜種を配布していると考えられている[18][19]

Confickerは5種類の亜種が知られ、Conficker A、B、C、D、Eと呼ばれている。これらが発見されたのは2008年11月21日、2008年12月29日、2009年2月20日、2009年3月4日、2009年4月7日である[20][21]

亜種名 検出日 感染経路 更新の取得方法 自衛手段 動作目的
Conficker A 2008-11-21
  • NetBIOS
    • サーバーサービスの脆弱性MS08-067への攻撃[19]
  • HTTP pull
    • trafficconverter.bizからのダウンロード
    • 一日一回250個からランダムに選ばれたドメイン(そのTLDは5種類を超える)からのダウンロード[22]

なし

  • 自身のConficker BまたはC、Dへの更新[23]
Conficker B 2008-12-29
  • NetBIOS
    • サーバーサービスの脆弱性MS08-067への攻撃[19]
    • ADMIN$ 共有への辞書攻撃[24]
  • リムーバブルメディア
    • 接続されているリムーバブルディスクに自動実行を利用するDLLベースのトロイの木馬を作成[10]
  • HTTP pull
    • 一日一回250個からランダムに選ばれたドメイン(そのTLDは8種類を超える)からのダウンロード[22]
  • NetBIOS push
    • MS08-067へのパッチ適用。サーバーサービスへの再感染の裏口を設けるため。[25][26]
  • DNS参照の阻止
  • 自動更新の無効化
  • 自身のConficker CまたはDへの更新[23]
Conficker C 2009-02-20
  • NetBIOS
    • サーバーサービスの脆弱性MS08-067への攻撃[19]
    • ADMIN$ 共有への辞書攻撃[24]
  • リムーバブルメディア
    • 接続されているリムーバブルディスクに自動実行を利用するDLLベースのトロイの木馬を作成[10]
  • HTTP pull
    • 一日一回250個からランダムに選ばれたドメイン(そのTLDは8種類を超える)からのダウンロード[22]
  • NetBIOS push
    • MS08-067へのパッチ適用。サーバーサービスへの再感染の裏口を設けるため[25][26]
    • URLを受信しそこからダウンロードするための名前付きパイプの作成
  • DNS参照の阻止
  • 自動更新の無効化
  • 自身のConficker Dへの更新[23]
Conficker D 2009-03-04 なし
  • HTTP pull
    • 一日一回50000個からランダムに選ばれた500個のドメイン(そのTLDは110種類を超える)からのダウンロード[22]
  • P2P push/pull
    • UDPの独自プロトコルによる感染しているピアのスキャンならびにTCPでの転送[27]
  • DNS参照の阻止[28]
    • メモリ上の DNSAPI.DLL へのパッチ適用。アンチマルウェアに関連するウェブサイトのDNS参照を防ぐため[28]
  • セーフモードの無効化[28]
  • 自動更新の無効化
  • アンチマルウェアの停止
    • 1秒間隔でのアンチマルウェア、パッチまたは診断ユーティリティーの名前をもつプロセスの検出と停止[29]
  • Conficker Eのダウンロードとインストール[23]
Conficker E 2009-04-07
  • NetBIOS
    • サーバーサービスの脆弱性MS08-067への攻撃[30]
  • NetBIOS push
    • MS08-067へのパッチ適用。サーバーサービスへの再感染の裏口を設けるため
  • P2P push/pull
    • UDPの独自プロトコルによる感染しているピアのスキャンならびにTCPでの転送[27]
  • DNS参照の阻止
  • 自動更新の無効化
  • アンチマルウェアの停止
    • 1秒間隔でのアンチマルウェア、パッチまたは診断ユーティリティーの名前をもつプロセスの検出と停止[31]
  • 同一マシン上にあるConficker CのConficker Dへの更新[32]
  • 以下のマルウェアのダウンロードとインストール
  • 自身の削除(2009年5月3日に行う。但しConficker Dは残す)[34]

対応

編集

2009年2月12日、マイクロソフトはConfickerの影響に対応するためのIT業界団体を立ち上げたことを発表した。団体に参加した組織はマイクロソフトとAfiliasICANNNeustarベリサインChina Internet Network Information Center、Public Internet Registry、Global Domains International、Inc.、M1D Global、AOLシマンテックF-Secure、ISC、ジョージア工科大学の研究者ら、The Shadowserver Foundation、Arbor Networks、Support Intelligenceなどである[18][35]

脚注

編集
  1. ^ Protect yourself from the Conficker computer worm, マイクロソフト, (2009-04-09), http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx 2009年4月28日閲覧。 
  2. ^ Markoff, John (2009年1月22日). “Worm Infects Millions of Computers Worldwide”. New York Times. http://nytimes.com/2009/01/23/technology/internet/23worm.html 2009年4月23日閲覧。 
  3. ^ Defying Experts, Rogue Computer Code Still Lurks”. New York Times (2009年8月26日). 2009年8月27日閲覧。
  4. ^ Grigonis, Richard (2009-02-13), Microsoft's US$5 million Reward for the Conficker Worm Creators, IP Communications, http://ipcommunications.tmcnet.com/topics/ip-communications/articles/50562-microsofts-5000000-reward-the-conficker-worm-creators.htm 2009年4月1日閲覧。 
  5. ^ Ficker in dict.cc English-German Dictionary;
    ^ Ficker in bab.la/ German-English Dictionary;
    ^ Ficker in pons German-English Dictionary.
  6. ^ Phillips, Joshua, Malware Protection Center - Entry: Worm:Win32/Conficker.A, マイクロソフト, http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.a 2009年4月1日閲覧。 
  7. ^ Leffall, Jabulani (2009年1月15日). “Conficker worm still wreaking havoc on Windows systems”. Government Computer News. 2009年3月29日閲覧。
  8. ^ Microsoft Security Bulletin MS08-067 – Critical; Vulnerability in Server Service Could Allow Remote Code Execution (958644), マイクロソフト, http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx 2009年4月15日閲覧。 
  9. ^ Leyden, John (2009-01-19), Three in 10 Windows PCs still vulnerable to Conficker exploit, The Register, http://theregister.co.uk/2009/01/19/conficker_worm_feed 2009年1月20日閲覧。 
  10. ^ a b c Nahorney, Ben; Park, John (2009-03-13), “Propagation by AutoPlay”, The Downadup Codex, Symantec, pp. 32, http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_downadup_codex_ed1.pdf 2009年4月1日閲覧。 
  11. ^ “Clock ticking on worm attack code”. BBC News Online (BBC). (2009年1月20日). http://news.bbc.co.uk/1/hi/technology/7832652.stm 2009年1月16日閲覧。 
  12. ^ Sullivan, Sean (2009年1月16日). “Preemptive Blocklist and More Downadup Numbers”. F-Secure. 2009年1月16日閲覧。
  13. ^ Neild, Barry (2009-01-16), Downadup Worm exposes millions of PCs to hijack, CNN, https://edition.cnn.com/2009/TECH/ptech/01/16/virus.downadup/?iref=mpstoryview 2009年1月18日閲覧。 
  14. ^ Virus strikes 15 million PCs, UPI, (2009-01-26), http://upi.com/Top_News/2009/01/25/Virus_strikes_15_million_PCs/UPI-19421232924206 2009年3月25日閲覧。 
  15. ^ Six percent of computers scanned by Panda Security are infected by the Conficker worm”. Panda Security (2009年1月21日). 2009年1月21日閲覧。
  16. ^ McMillan, Robert (2009-04-15), “Experts bicker over Conficker numbers”, Techworld (IDG), http://www.techworld.com/news/index.cfm?RSS&NewsID=114307 2009年4月23日閲覧。 
  17. ^ Nahorney, Ben; Park, John (2009-03-13), “Propagation by AutoPlay”, The Downadup Codex, Symantec, pp. 2, http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_downadup_codex_ed1.pdf 2009年4月1日閲覧。 
  18. ^ a b Markoff, John (2009-03-19), Computer Experts Unite to Hunt Worm, New York Times, http://www.nytimes.com/2009/03/19/technology/19worm.html?_r=1&ref=us 2009年3月29日閲覧。 
  19. ^ a b c d Porras, Phillip; Saidi, Hassen; Yegneswaran, Vinod (2009-03-19), An Analysis of Conficker, SRI International, http://mtc.sri.com/Conficker/ 2009年3月29日閲覧。 
  20. ^ Tiu, Vincent (2009-03-27), Microsoft Malware Protection Center: Information about Worm:Win32/Conficker.D, マイクロソフト, http://blogs.technet.com/mmpc/archive/2009/03/27/information-about-worm-win32-conficker-d.aspx 2009年3月30日閲覧。 
  21. ^ Macalintal, Ivan; Cepe, Joseph; Ferguson, Paul (2009-04-07), DOWNAD/Conficker Watch: New Variant in The Mix?, Trend Micro, http://blog.trendmicro.com/downadconficker-watch-new-variant-in-the-mix/ 2009年4月7日閲覧。 
  22. ^ a b c d Park, John (2009-03-27), W32.Downadup.C Pseudo-Random Domain Name Generation, Symantec, https://forums2.symantec.com/t5/Malicious-Code/W32-Downadup-C-Pseudo-Random-Domain-Name-Generation/ba-p/393367#A258 2009年4月1日閲覧。 
  23. ^ a b c d Nahorney, Ben (2009年4月21日). “Connecting The Dots: Downadup/Conficker Variants”. Symantec. 2009年4月25日閲覧。
  24. ^ a b Chien, Eric (2009-02-18), Downadup: Locking Itself Out, Symantec, https://forums2.symantec.com/t5/Malicious-Code/Downadup-Locking-Itself-Out/ba-p/389837 2009年4月3日閲覧。 
  25. ^ a b Chien, Eric (2009-01-19), Downadup: Peer-to-Peer Payload Distribution, Symantec, https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/227 2009年4月1日閲覧。 
  26. ^ a b Leder, Felix; Werner, Tillmann (2009-04-07), Know Your Enemy: Containing Conficker, HoneyNet Project, http://www.honeynet.org/files/KYE-Conficker.pdf 2009年4月13日閲覧。 
  27. ^ a b W32.Downadup.C Bolsters P2P, Symantec, (2009-03-20), https://forums2.symantec.com/t5/Malicious-Code/W32-Downadup-C-Bolsters-P2P/ba-p/393331#A253 2009年4月1日閲覧。 
  28. ^ a b c Leung, Ka Chun; Kiernan, Sean (2009-04-06), W32.Downadup.C Technical Details, http://www.symantec.com/security_response/writeup.jsp?docid=2009-030614-5852-99&tabid=2 2009年4月10日閲覧。 
  29. ^ Porras, Phillip; Saidi, Hassen; Yegneswaran, Vinod (2009-03-19), An Analysis of Conficker C (draft), SRI International, http://mtc.sri.com/Conficker/ 2009年3月29日閲覧。 
  30. ^ a b Fitzgerald, Patrick (2009-04-09), W32.Downadup.E—Back to Basics, Symantec, https://forums2.symantec.com/t5/Malicious-Code/W32-Downadup-E-Back-to-Basics/ba-p/393465 2009年4月10日閲覧。 
  31. ^ Putnam, Aaron, Virus Encyclopedia: Worm:Win32/Conficker.E, マイクロソフト, http://onecare.live.com/standard/en-us/virusenc/VirusEncInfo.htm?VirusName=Worm:Win32/Conficker.E 2009年4月18日閲覧。 
  32. ^ Nahorney, Ben; Park, John (2009-04-21), “Connecting The Dots: Downadup/Conficker Variants”, The Downadup Codex (2.0 ed.), Symantec, pp. 47, http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_downadup_codex_ed2.pdf 2009年6月19日閲覧。 
  33. ^ Keizer, Gregg (2009-04-09), Conficker cashes in, installs spam bots and scareware, Computerworld, http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=Security&articleId=9131380 2009年4月10日閲覧。 
  34. ^ Leung, Kachun; Liu, Yana; Kiernan, Sean (2009-04-10), W32.Downadup.E Technical Details, Symantec, http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-040823-4919-99&tabid=2 2009年4月10日閲覧。 
  35. ^ O'Donnell, Adam (2009-02-12), Microsoft announces industry alliance, $250k reward to combat Conficker, ZDNet, http://blogs.zdnet.com/security/?p=2572 2009年4月1日閲覧。 

外部リンク

編集