Trend Micro Security

CONFICKER

2014年3月18日

 別名:

Conficker, Kido, Downadup, Downad

 プラットフォーム:

Windows 2000, Widnows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 共有ネットワークフォルダを介した感染活動, ソフトウェアの脆弱性を利用した感染活動, リムーバブルドライブを介した感染活動

2008年、「CONFICKER」ファミリの最初の亜種が、「Windows Serverサービスの脆弱性(MS08-067)」を利用し、感染活動を行うことが確認されました。その後確認された亜種は、リムーバブルドライブおよびネットワーク共有フォルダ内に自身のコピーを作成することで、他のコンピュータへの感染活動を行います。

「CONFICKER」の注目すべき点として、これらの亜種のほとんどは、自身がアクセスする多数のURLを生成する機能を備えている点です。ワームは、独自のドメイン生成アルゴリズムを用いて作成した、ランダムなURLにアクセスし、感染コンピュータに他のファイルをダウンロードします。

感染コンピュータから「CONFICKER」を削除する際に困難な点として、ワームが、セキュリティおよびセキュリティソフトに関連するWebサイトへのアクセスをブロックする機能を備えている点が挙げられます。また、Windows OSの自動実行機能がデフォルトで有効になっている場合、CONFICKERに感染したUSBデバイスが未感染のコンピュータに接続されると、容易にCONFICKERに感染、実行されることとなります。さらに、脆弱性が修正されないままのコンピュータが多数存在していたことも、CONFICKERの削除の障害となります。多くのユーザが脆弱性を修正しなかった理由は、海賊版ソフトウェアを使用していたり、古いWindows OSのみがサポートする古いプログラムを使用するために古いシステムを使い続けているなど様々です。

「CONFICKER」の感染により、後に新しいWindows OSでの更新によって対処されることとなった、多くのセキュリティ問題が明るみになりました。また、ワームにより、コンピュータの更新の必要性と、古いシステム(特にこれらのコンピュータが企業のネットワークに接続されている場合)の適切な管理の必要性の問題も注目されました。


  詳細

メモリ常駐 はい
ペイロード ファイルのダウンロード

インストール

ワームは、以下のファイルを作成します。

  • {drive letter}:\autorun.inf

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\{random file name}.dll
  • %System%\{random file name}.dll
  • %System%\{random number}.tmp
  • %Program Files%\Internet Explorer\{random file name}.dll
  • %Program Files%\Movie Maker\{random file name}.dll
  • %User Temp%\{random file name}.dll
  • {drive letter}:\Recycler\{SID}\{random characters}.{random}

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

ワームは、以下のフォルダを作成します。

  • {drive letter}:\Recycler\{SID}

自動実行方法

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost\
{random characters}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}
ImagePath = "%System Root%\system32\svchost.exe -k"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}\Parameters
ServiceDll = "%System%\{malware file name}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
Type = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
Start = "3"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
ImagePath = "%System%\{random number}.tmp"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
DisplayName = "{random service name}"

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "rundll32.exe {malware path and file name}, Parameter"

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Applets
dl = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Applets
ds = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Applets
dl = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Applets
ds = "0"

ワームは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
TcpNumConnections = "00FFFFFE"

(註:変更前の上記レジストリ値は、「user-defined」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "4"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

ダウンロード活動

ワームは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

  • http://{DGA IP address}/search?q=0

その他

ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • http://www.getmyip.org
  • http://www.whatsmyipaddress.com
  • http://www.whatismyip.org
  • http://checkip.dyndns.org

ワームは、以下のタイムサーバにアクセスし、現在の日付を確認します。

  • myspace.com
  • msn.com
  • ebay.com
  • cnn.com
  • aol.com
  • w3.org
  • ask.com
  • yahoo.com
  • google.com
  • baidu.com


  対応方法

対応検索エンジン: 8.900
VSAPI OPR パターンバージョン 7.733.00
VSAPI OPR パターンリリース日 2010年12月28日

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください