Conficker

コンピューターワーム From Wikipedia, the free encyclopedia

Conficker(別名DownupあるいはDownadupKido)は2008年11月に初めて検出されたMicrosoft Windowsオペレーティングシステムを標的とするコンピュータワームである[1]。Confickerは感染すると、Windowsソフトウェアの欠陥を利用して管理者のパスワード辞書攻撃し、ウイルス製作者が命令できるネットワーク上のコンピュータと接続する。Confickerの感染は急速に拡大し現在200ヶ国以上で700万を超える数の政府、企業、家庭のコンピュータがその制御下にあり、2003年のSQL Slammer以来最も規模が大きいと考えられている[2]。また、Confickerはありとあらゆる高度なマルウェア技術を使用しているため対策が非常に難しいものとなっている[3]

正式名称 Conficker
別名
区分 不明
類型 コンピュータワーム
概要 正式名称, 別名 ...
Conficker
正式名称 Conficker
別名
区分 不明
類型 コンピュータワーム
亜類型 コンピュータウイルス
閉じる

歴史

名称

Confickerという名称の由来は英語の "configure" とドイツ語の "ficker" の混成語だと考えられている[4][5]。一方、マイクロソフトのアナリストはドメイン名trafficconverter.bizの一部を並べ替えたものだと説明している[6]。このドメインはConfickerの初期のバージョンで更新をダウンロードするのに使われた。

発見

Confickerの最初の亜種は2008年11月初めに発見され、インターネットを通じてネットワークサービスの脆弱性を突くことで広がった。この脆弱性はWindows 2000Windows XPWindows VistaWindows Server 2003Windows Server 2008Windows Server 2008 R2 Betaに存在した[7]Windows 7もこの脆弱性の影響を受けたかもしれないが、Windows 7 Betaは2009年1月まで公開されなかった。マイクロソフトはその脆弱性を塞ぐ緊急不定期パッチを2008年10月23日に公開したが[8]、 多数のWindowsパーソナルコンピュータ(30%だと見積もられている)は2009年1月になってもこのパッチを適用していなかった[9]。 2つめの亜種は2008年12月に発見され、これはリムーバブルメディアネットワークファイル共有を通じて感染する機能が追加されたものだった[10]。 研究者はこの機能が感染が急速に拡大する決定的な要因になったと見ており、2009年1月までに900万[11][12][13]から1500万[14]台のパーソナルコンピュータがこれによって感染したと見積もられている。 アンチウイルスソフトウェアベンダーであるPanda Securityの報告では、200万台のコンピュータがActiveScanにより解析され約115,000台 (6%) がConfickerに感染していると診断された[15]

現在どの程度の数のコンピュータが感染しているかを見積もるのは困難である。何故なら、最近の亜種では拡散と更新の方法が変更されたからである[16]

動作

Confickerが使用したほとんどの高度なマルウェア技術は過去に使われたか研究者によく知られたものであった。しかし、Confickerは沢山のそれらの技術を組み合わせることで駆除を極度に困難にした[17]。 また、ワーム製作者はネットワーク管理者と司法当局によるマルウェア対策を観測し、ワームが抱える欠陥の対策を施した新しい亜種を配布していると考えられている[18][19]

Confickerは5種類の亜種が知られ、Conficker A、B、C、D、Eと呼ばれている。これらが発見されたのは2008年11月21日、2008年12月29日、2009年2月20日、2009年3月4日、2009年4月7日である[20][21]

さらに見る 亜種名, 検出日 ...
亜種名 検出日 感染経路 更新の取得方法 自衛手段 動作目的
Conficker A2008-11-21
  • NetBIOS
    • サーバーサービスの脆弱性MS08-067への攻撃[19]
  • HTTP pull
    • trafficconverter.bizからのダウンロード
    • 一日一回250個からランダムに選ばれたドメイン(そのTLDは5種類を超える)からのダウンロード[22]

なし
  • 自身のConficker BまたはC、Dへの更新[23]
Conficker B2008-12-29
  • NetBIOS
    • サーバーサービスの脆弱性MS08-067への攻撃[19]
    • ADMIN$ 共有への辞書攻撃[24]
  • リムーバブルメディア
    • 接続されているリムーバブルディスクに自動実行を利用するDLLベースのトロイの木馬を作成[10]
  • HTTP pull
    • 一日一回250個からランダムに選ばれたドメイン(そのTLDは8種類を超える)からのダウンロード[22]
  • NetBIOS push
    • MS08-067へのパッチ適用。サーバーサービスへの再感染の裏口を設けるため。[25][26]
  • DNS参照の阻止
  • 自動更新の無効化
  • 自身のConficker CまたはDへの更新[23]
Conficker C2009-02-20
  • NetBIOS
    • サーバーサービスの脆弱性MS08-067への攻撃[19]
    • ADMIN$ 共有への辞書攻撃[24]
  • リムーバブルメディア
    • 接続されているリムーバブルディスクに自動実行を利用するDLLベースのトロイの木馬を作成[10]
  • HTTP pull
    • 一日一回250個からランダムに選ばれたドメイン(そのTLDは8種類を超える)からのダウンロード[22]
  • NetBIOS push
    • MS08-067へのパッチ適用。サーバーサービスへの再感染の裏口を設けるため[25][26]
    • URLを受信しそこからダウンロードするための名前付きパイプの作成
  • DNS参照の阻止
  • 自動更新の無効化
  • 自身のConficker Dへの更新[23]
Conficker D2009-03-04 なし
  • HTTP pull
    • 一日一回50000個からランダムに選ばれた500個のドメイン(そのTLDは110種類を超える)からのダウンロード[22]
  • P2P push/pull
    • UDPの独自プロトコルによる感染しているピアのスキャンならびにTCPでの転送[27]
  • DNS参照の阻止[28]
    • メモリ上の DNSAPI.DLL へのパッチ適用。アンチマルウェアに関連するウェブサイトのDNS参照を防ぐため[28]
  • セーフモードの無効化[28]
  • 自動更新の無効化
  • アンチマルウェアの停止
    • 1秒間隔でのアンチマルウェア、パッチまたは診断ユーティリティーの名前をもつプロセスの検出と停止[29]
  • Conficker Eのダウンロードとインストール[23]
Conficker E2009-04-07
  • NetBIOS
    • サーバーサービスの脆弱性MS08-067への攻撃[30]
  • NetBIOS push
    • MS08-067へのパッチ適用。サーバーサービスへの再感染の裏口を設けるため
  • P2P push/pull
    • UDPの独自プロトコルによる感染しているピアのスキャンならびにTCPでの転送[27]
  • DNS参照の阻止
  • 自動更新の無効化
  • アンチマルウェアの停止
    • 1秒間隔でのアンチマルウェア、パッチまたは診断ユーティリティーの名前をもつプロセスの検出と停止[31]
  • 同一マシン上にあるConficker CのConficker Dへの更新[32]
  • 以下のマルウェアのダウンロードとインストール
  • 自身の削除(2009年5月3日に行う。但しConficker Dは残す)[34]
閉じる

対応

2009年2月12日、マイクロソフトはConfickerの影響に対応するためのIT業界団体を立ち上げたことを発表した。団体に参加した組織はマイクロソフトとAfiliasICANNNeustarベリサインChina Internet Network Information Center、Public Internet Registry、Global Domains International、Inc.、M1D Global、AOLシマンテックF-Secure、ISC、ジョージア工科大学の研究者ら、The Shadowserver Foundation、Arbor Networks、Support Intelligenceなどである[18][35]

脚注

外部リンク

Related Articles

Wikiwand AI