ワームとMS08-067


小野寺です。


報道やMSRC Blog等でも取り上げられているので、すでにご存じの方も多いと思いますが、MS08-067を悪用するワームが確認されています。


ものとしては、Win32/Conficker.A (またはWin32/Conficeker.Gen) が最も見られるようですが、IRCBotの亜種も確認しています。 MS08-067のセキュリティ更新プログラムを適用していれば全く問題ないのですが、未適用環境で感染が確認されています。


対処としては、基本的に以下の流れになります。



  1. MS08-067の適用

  2. 駆除 (http://safety.live.com)

  3. ファイアウォールの設定見直しなります。

しかしながら、原則論でいえば、一度ウイルス(マルウェア)に感染した PCは、他にどの様なマルウェアを招き入れているかわかりませんので、完全にフォーマットして再構築が望ましいところではあります。
このConfickerも、<random ip>/search?q=%d&aq=7 からファイルのダウンロードを試みる性質があり、Conficker以外のマルウェアにも感染している可能性があります。


詳細は、以下のサイトにありますが、英語のみとなりますので、簡易翻訳版をこのBlogに転記しておきます。
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.A


別名 (Also Known As):
TA08-297A (その他)
CVE-2008-4250 (その他)
VU827267 (その他)
W32.Downadup (シマンテック)


概要 (Summary):
ワーム:Win32/Conficker.A は、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用し、ネットワーク上で別のコンピューターを感染させるワームです。脆弱性が悪用される場合、ファイル共有を有効にした際にリモートでコードが実行される可能性があります。
マイクロソフトは、ユーザーが直ちにセキュリティ情報 MS08-067 に該当する更新プログラムを適用するよう強く推奨します。


現象 (Symptoms):
この脅威に関連する一般的な現象はありません。おそらく、インストール済みウイルス対策ソフトウェアからの警告通知が唯一の現象です。


技術的な情報(Technical Information):
Worm:Win32/Conficker.A は、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用し、ネットワーク上で別のコンピューターを感染させるワームです。脆弱性が悪用される場合、ファイル共有を有効にした際にリモートでコードが実行される可能性があります。

感染方法:
このワームは Windows の実行可能ファイル 'services.exe' を探し、このファイルにそれ自身を仕掛けます。このワームは Windows のシステム フォルダーに <random>.dll の名でそれ自身をコピーします。<random> の部分はアルファベットの小文字 (5-8 文字) で 'nxyme.dll' のような名称になります。


このワームは感染時間についてフォレンジックの証拠を隠すため、DLL ワームのコピーがドロップされたファイルの時間を、システムの kernel32.dll ファイルと同じ時間に調節します。このレジストリはドロップされた DLL のワーム コピーをサービスとして実行するように変更されます。



追加の値:  "DisplayName"
データ:  "0"
サブキー:  HKLM\SYSTEM\CurrentControlSet\Services\vcdrlxeu

追加の値: "ServiceDll"
データ: "<system folder>\nxyme.dll"
サブキー:  HKLM\SYSTEM\ControlSet001\Services\vcdrlxeu\Parameters


マシンがワームに感染すると、このワームはすでに影響を受けているこのマシンが再感染しないように、シンプルなコードのフックを介して悪用された機能を修正します。ワームはポート 1024 および 10000 の間をランダムに選択してポートを開き、接続の試行情報を確認し、API を使用している Windows ファイアウォールを回避します。また、このワームはインターネット接続共有サービスを停止します。


拡散方法:
ネットワークのコンピューター
Win32/Conficker. A はメモリにそれ自身をコピーし、Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上でランダムに選択した IP アドレスに蔓延し始めます。脆弱性が悪用された場合、ワームは標的のコンピューターを操り、ワームに開かれたランダムなポートを使用して HTTP プロトコルを介してホストコンピューターからワームのコピーをダウンロードします。
このワームは次の URL を利用して、コンピューターの地域的な場所を判断します:



getmyip.org
getmyip.co.uk
checkip.dyndns.org


Win32/Conficker.A はウクライナの地域のコンピューターの感染を避けます。


ペイロード (Payload):
HTTP サーバーを作成する
ワームは 1024 から 10000 の間のポートをランダムに開き、Web サーバー (HTTP サーバー) のように動作します。リモートのマシンが悪用された場合、犠牲者が http サーバーに再度接続し、ワームのコピーをダウンロードします。
 
システムの復元ポイントのリセット
ワームは API 機能を呼び出し、コンピューターのシステムの復元ポイントをリセットし、システム復元を使用してリカバリさせないようにします。


ファイルのダウンロード
日付が 2008 年 11 月 25 日以降である場合、このワームは URL を次のフォーマットで構築し、そこからファイルをダウンロードしようと試みます:



<random ip>/search?q=%d&aq=7



日付が 2008 年 12 月 1 日以降である場合、Win32/Conficker.A はドメイン 'trafficconverter.biz' から 'loadadv.exe' のファイルのダウンロードを試行します。

Skip to main content