UnderForge of Lack

Microsoftが２５万ドルの懸賞金をかけたConficker/Downadup ですが、事態が益々悪化しています。

ここを見てる個人の方は（セキュリティ意識が高い方でしょうから）あまり関係ないかもしれませんが、企業などのDMZ の内側のイントラネットで猛威を振るっています。

どういうことかと言いますと、イントラネット内部にはInternetと切り離されて「Windows UPDATEすら行ったことの無い」PCが大量に存在します。そこにUSB経由で感染して蔓延するという、まさにトロイの木馬的な感染っぷりです。

どうもコイツは、過去に駆除されたPCに無理やり侵入するロジックをもっているようでして、「感染してないけど、撒き散らす」という半ゾンビ化した「スキャッター」の存在も確認されているようです。
それを感染状態って言うって説もありますが（笑）

当初はロシア製（ウクライナ）のウィルスだと思われていたのですがその理由が・・・
Conficker(Downadup)ワームに関するまとめ
まず 1 番目は Worm:Win32/Conficker.A (英語情報) で、2008 年 11 月 21 日に報告され、MS08-067 のセキュリティ更新プログラムにより解決された脆弱性を悪用することによってのみ蔓延します。この変種はウクライナ語版のキーボードの配列を使用するコンピューターは感染しないため、マルウェアの開発者はウクライナに本拠地を置くのではないかと疑われていました。
そんな理由で判断してたのか・・・・

現在はこの変種にあたる
Conficker.B
が出現しています。

------------------------
感染から蔓延へのプロセス

コレは感染すると・・・
・自己を.DLLと偽装して本体を再コピーします。
・レジストリを改造して、再起動の度に「コピー」を起動します
・起動後、自己のプロセス名を偽のサービスとしてロードします
・サービス名をランダムに生成します
のような動作をおこなって、自己隠蔽します。

更に感染拡大の為に・・
・脆弱な ADMIN$ の共有パスワードを使用して共有ネットワーク内のPCに、普遍的なパスワードを使用してログインを試みます。
・ログオンに成功すると、アクセス可能な admin の共有にADMIN$\System32\.dll としてそれ自身をコピーします。
・コピーされたワームはリモートでジョブ スケジュールを作成して、コピーを有効化します。
・ ファイル名を使用して、すべてのマップされたドライブにそれ自身をコピーします。
・マップされた有効なドライブに'RECYCLER'というフォルダを作成します（消されていないゴミ箱の中身）。
・RYCYCLERにワーム本体をコピーし、 autorun.inf で次回起動時に自動実行します。
これで、DMZ の内側にあるＰＣ群が陥落してしまう可能性が非常に高いです。

更に・・
・MS08-067が未適用のPCは、1024 から 10000 の間のランダム ポートを開き、HTTP プロトコルを介してホストコンピューターからワームのコピーをダウンロードします。
※この際、更に違う亜種をダウンロードされる可能性が高いです。

・システムを変更し、隠しファイルを見えなくします。
値の追加: "CheckedValue"
データ: "0"
サブキー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

・システムの TCP 構成を変更し、多くの同時接続を許可します。
値の追加: "TcpNumConnections"
データ: "0x00FFFFFE"
サブキー: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

これだけでも恐ろしいのに、更に
Win32/Conficker.B は Windows Defender 向けのレジストリ キーを削除し、システムが起動した際に実行させないようにし、Windows Vista TCP/IP の自己調整を無効にします。
この文字列を持ったモジュールがプロセスとして起動することを阻害します。
(文字列のほとんどがウイルス対策およびセキュリティ ソフトウェアに関連しているため、署名のアップデートの入手が事実上不可能になり、ユーザーがこれらの文字列を含む URL の Web サイトにアクセスできなくなることに注意してください)

また、システムリカバリを防止するためにシステム復元ポイントを破壊します。

こうして完全に屈服したPCを操り、BotNet化するための手段として
以下のサイトに接続を試み、Internetに接続されているかどうかを確認します。
aol.com
cnn.com
ebay.com
msn.com
myspace.com

インターネット接続が可能なPCは
http:///search?q=%d
のルールに従って、次のサイトへ接続、ファイルのダウンロードを試みます。
構築された URL の例


------------------------
ここまで読んで頭痛がしてきた方も多いと思います。
何故、イントラネット内部で蔓延しているのか？というのも頷けます。

個人のPCは（ここを見てる方は特に）影響が薄いのですが
スキャッターのみに感染している場合、USBメモリ経由で（気が付かずに）亜種を会社に持ち込んでしまう可能性が有ります。

普遍的なパスワードあたりでギクリとした人は、早急にパスワードの変更を行ってください。

他参照：
本サイト内 Tag:Conficker

そのとき何が、「WORM_DOWNAD」ファミリの振り返り 2008.12.24

Spy-Agent.da
遮断すべきIP/host
59.106.145.58
doradora.atzend.com
perlbody.t35.com
summertime.1gokurimu.com

「Downadup」ワームの巧妙なるネットワーク・スキャン

「最悪の事態はこれから」？ 不気味に急拡大する「Downadup」ワーム

抗ウィルスベンダ各社の対応リンク

-------------------------
The probability of anything happening is in inverse ration to its desirability.

This entry was posted on 日曜日, 2 月 15th, 2009 at 8:36 PM and is filed under RiskHedge, security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.