キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Conficker.X
公開日:2009年3月27日
このウイルスに関する危険度 :■■■■■

定義名称 Win32/Conficker.X
別名 Net-Worm.Win32.Kido.iq (Kaspersky), W32.Downadup.C (Symantec), W32/Conficker.worm.gen.c (McAfee)
種別 ワーム
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのワームを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Conficker ワームの亜種」という名称で警告が出ます。
対応時期 バージョン 3676 (20081209) 以降
影響を受けるプラットフォーム Microsoft Windows
概要 Win32/Conficker.X ワームは、ネットワーク共有およびリムーバブルメディアなどを利用して感染を広げます。また、Server Serviceの脆弱さを利用してリモート先へ接続を試みます。

現在のワームの活動と対応状況

Win32/Conficker.X およびその亜種による感染報告が国内でも多く寄せられております。特に個人ユーザーよりもLANを利用する企業ユーザーでの報告を多く受けています。このワームに対する対応については、新たな新種・亜種が確認され次第、連日アップデートを行っております。

Win32/Conficker.X 2009-03-16 3938
Win32/Conficker.X 2009-03-05 3911
Win32/Conficker.X 2009-02-18 3865
Win32/Conficker.X (2) 2009-01-30 3813
Win32/Conficker.X 2009-01-27 3805
Win32/Conficker.X 2009-01-07 3749
Win32/Conficker.X (4) 2009-01-07 3746
Win32/Conficker.X 2008-12-11 3684
Win32/Conficker.X (2) 2008-12-09 3676
※2009/3/27 時点の対応状況です。

また、2009/4/1 に発症する亜種も確認されているため注意が必要です。

ワームによる感染被害をなくすためにできるだけ本製品のアップデートを常に行うよう心がけてください。また、このワームはWindows の脆弱性を利用します。Windows アップデートも忘れずに実施してください。


検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータなどに感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。(検出したファイル自身がウイルスそのものである場合は、削除を行ってください。)

駆除もしくは削除後、再起動すると再び同じウイルスによって活動が発生する場合は、システムをセーフモードで起動し、検査および駆除・削除を実施してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

ワームが実行されると、ワームは自分自身のコピーを次の場所へコピーします。

system%\%variable%.dll
%program files%\Internet Explorer\%variable%.dll
%program files%\Movie Maker\%variable%.dll
%program files%\Windows NT\%variable%.dll
%appdata%\%variable%.dll
%temp%\%variable%.dll

※ %variable% には適当な文字列が入ります。


この %variable%.dll ライブラリは、次のプロセスにインジェクトします。

explorer.exe
services.exe
svchost.exe


ワームは、次の文字列から合成した名前を Windows サービスとして登録します。

App
Audio
DM
ER
Event
help
Ias
Ir
Lanman
Net
Ntms
Ras
Remote
Sec
SR
Tapi
Trk
W32
win
Wmdm
Wmi
wsc
wuau
xml
access
agent
auto
logon
man
mgmt
mon
prov
serv
Server
Service
Srv
srv
Svc
svc
System
Time


ワームは、次のいくつかの名前を使ってシステムサービスに自身を登録します。

64
Adobe
Agent
App
Assemblies
assembly
Boot
Build
Calendar
Collaboration
Common
Components
Cursors
Debug
Defender
Definitions
Digital
Distribution
Documents
Downloaded
en
Explorer
Files
Fonts
Gallery
Games
Globalization
Google
Help
IME
inf
Installer
Intel
Inter
Internet
Java
Journal
Kernel
L2S
Live
Logs
Mail
Maker
Media
Microsoft
Mobile
Modem
Movie
MS
msdownld
NET
New
Office
Offline
Options
Packages
Pages
Patch
Performance
Photo
PLA
Player
Policy
Prefetch
Profiles
Program
Publish
Reference
Registered
registration
Reports
Resources
schemas
Security
Service
Setup
Shell
Software
Speech
System
Tasks
Temp
tmp
tracing
twain
US
Video
Visual
Web
winsxs
Works
Zx


ワームは、システムが開始されるごとに実行できるよう、次のレジストリを登録します。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"%random1%" = "rundll32.exe "%variable%.dll",%random2%"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"%random1%" = "rundll32.exe "%variable%.dll",%random2%"

※ %random1-2% には、適当な文字列が入ります。


次のレジストリを設定します。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%
random service name%\Parameters]
"ServiceDll" = "%system%\%variable%.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%]
"Image Path" = "%System Root%\system32\svchost.exe -k netsvcs"
"DisplayName" = "%random service name%"
"Type" = 32
"Start" = 2
"ErrorControl" = 0
"ObjectName" = "LocalSystem"
"Description" = "%variable_name%"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = 0

※ %random service name% には、適当な文字列が入ります。


次の登録されているレジストリを削除します。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\
ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
"wscsvc" = "%filepath%"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender" = "%filepath%"




■ワームの拡散について

ワームは、適当なポートを使用してHTTPサーバーを自ら起動します。

ワームは、Server Serviceの脆弱性を利用した接続を試みるため、リモート先のコンピュータに対して TCP 139、445 番ポートを使った攻撃を行います。

この試みが成功すると、ワームは感染したコンピュータに接続させて、ワームのコピーをダウンロードします。

この脆弱性は、Microsoft 社Webサイトにて MS08-067 で記述されています。




■共有フォルダ経由の拡散について

ワームは、ローカル ネットワーク上の他のコンピュータの共有フォルダに自分自身をコピーを試みます。

ワームは、共有フォルダへアクセスするために次のパスワードを使ってログインを試みます。

123
1234
12345
123456
1234567
12345678
123456789
1234567890
123123
12321
123321
123abc
123qwe
123asd
1234abcd
1234qwer
1q2w3e
a1b2c3
admin
Admin
administrator
nimda
qwewq
qweewq
qwerty
qweasd
asdsa
asddsa
asdzxc
asdfgh
qweasdzxc
q1w2e3
qazwsx
qazwsxedc
zxcxz
zxccxz
zxcvb
zxcvbn
passwd
password
Password
login
Login
pass
mypass
mypassword
adminadmin
root
rootroot
test
testtest
temp
temptemp
foofoo
foobar
default
password1
password12
password123
admin1
admin12
admin123
pass1
pass12
pass123
root123
pw123
abc123
qwe123
test123
temp123
mypc123
home123
work123
boss123
love123
sample
example
internet
Internet
nopass
nopassword
nothing
ihavenopass
temporary
manager
business
oracle
lotus
database
backup
owner
computer
server
secret
super
share
superuser
supervisor
office
shadow
system
public
secure
security
desktop
changeme
codename
codeword
nobody
cluster
customer
exchange
explorer
campus
money
access
domain
letmein
letitbe
anything
unknown
monitor
windows
files
academia
account
student
freedom
forever
cookie
coffee
market
private
games
killer
controller
intranet
work
home
job
foo
web
file
sql
aaa
aaaa
aaaaa
qqq
qqqq
qqqqq
xxx
xxxx
xxxxx
zzz
zzzz
zzzzz
fuck
12
21
321
4321
54321
654321
7654321
87654321
987654321
0987654321
0
00
000
0000
00000
00000
0000000
00000000
1
11
111
1111
11111
111111
1111111
11111111
2
22
222
2222
22222
222222
2222222
22222222
3
33
333
3333
33333
333333
3333333
33333333
4
44
444
4444
44444
444444
4444444
44444444
5
55
555
5555
55555
555555
5555555
55555555
6
66
666
6666
66666
666666
6666666
66666666
7
77
777
7777
77777
777777
7777777
77777777
8
88
888
8888
88888
888888
8888888
88888888
9
99
999
9999
99999
999999
9999999
99999999

ログインが成功すると、次の場所へワームをコピーします。

\\%hostname%\ADMIN$\System32\%variable%.dll


ワームは、Windows のタスク(タスク スケジューラ)に、次のコマンドが毎日実行できるよう登録します。

rundll32.exe %variable%.dll, %random_string%

※ %variable% には適当な文字列が入ります。




■リムーバブルメディア経由の拡散について

ワームは、リムーバブルドライブの既存フォルダに自分自身のコピーを次の名前で試みます。

drive%\RECYCLER\S-%variable1%\%variable2%.%variable3%

※variable 1~3は、可変的な文字列が使用されます。


ワームは、次の場所にファイルを作成します。

%drive%\autorun.inf

※ %drive% は、リムーバブルドライブのドライブパスが入ります。


これにより、ワームは感染したメディアをコンピュータに挿入することで活動を可能にします。



■その他の情報

ワームは、次の文字列が含まれるプロセスを無効にします。

autoruns
avenger
confick
downad
filemon
gmer
hotfix
kb890
kb958
kido
klwk
mbsa.
mrt.
mrtstub
ms08-06
procexp
procmon
regmon
scct_
sysclean
tcpview
unlocker
wireshark

ワームは、次のサービスを無効にします。

Windows Security Center Service (wscsvc)
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Defender Service (WinDefend)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)


ワームは、次のアドレスへ接続します。

2ch.net
4shared.com
56.com
adobe.com
adsrevenue.net
adultadworld.com
adultfriendfinder.com
aim.com
alice.it
allegro.pl
ameba.jp
ameblo.jp
answers.com
apple.com
ask.com
aweber.com
awempire.com
badongo.com
badoo.com
baidu.com
bbc.co.uk
bebo.com
biglobe.ne.jp
bigpoint.com
blogfa.com
clicksor.com
co.cc
comcast.net
conduit.com
craigslist.org
cricinfo.com
dell.com
depositfiles.com
digg.com
disney.go.com
doubleclick.com
download.com
ebay.co.uk
ebay.com
ebay.de
ebay.it
espn.go.com
facebook.com
fastclick.com
fc2.com
files.wordpress.com
flickr.com
fotolog.net
foxnews.com
friendster.com
geocities.com
go.com
goo.ne.jp
google.com
googlesyndication.com
gougou.com
hi5.com
hyves.nl
icq.com
imageshack.us
imagevenue.com
imdb.com
imeem.com
kaixin001.com
kooora.com
linkbucks.com
linkedin.com
live.com
livedoor.com
livejasmin.com
livejournal.com
mail.ru
mapquest.com
mediafire.com
megaclick.com
megaporn.com
megaupload.com
metacafe.com
metroflog.com
miniclip.com
mininova.org
mixi.jp
msn.com
multiply.com
myspace.com
mywebsearch.com
narod.ru
naver.com
nba.com
netflix.com
netlog.com
nicovideo.jp
ning.com
odnoklassniki.ru
orange.fr
partypoker.com
paypopup.com
tagged.com
taringa.net
terra.com.br
thepiratebay.org
tianya.cn
tinypic.com
torrentz.com
tribalfusion.com
tube8.com
tudou.com
tuenti.com
typepad.com
ucoz.ru
veoh.com
verizon.net
vkontakte.ru
vnexpress.net
wikimedia.org
wikipedia.org
wordpress.com
xhamster.com
xiaonei.com
xnxx.com
xvideos.com
yahoo.co.jp
yahoo.com
pconline.com.cn
pcpop.com
perfspot.com
photobucket.com
pogo.com
pornhub.com
rambler.ru
rapidshare.com
rediff.com
reference.com
sakura.ne.jp
seesaa.net
seznam.cz
skyrock.com
sonico.com
soso.com
sourceforge.net
studiverzeichnis.com
yandex.ru
youporn.com
youtube.com
zedo.com
ziddu.com
zshare.net


ワームは、次の文字列が含まれるドメインへのアクセスを遮断します。

ahnlab
arcabit
avast
avira
castlecops
centralcommand
clamav
comodo
computerassociates
cpsecure
defender
drweb
emsisoft
esafe
eset
etrust
ewido
fortinet
f-prot
f-secure
gdata
grisoft
hacksoft
hauri
ikarus
jotti
k7computing
kaspersky
malware
mcafee
microsoft
networkassociates
nod32
norman
norton
panda
pctools
prevx
quickheal
rising
rootkit
securecomputing
sophos
spamhaus
spyware
sunbelt
symantec
threatexpert
trendmicro
virus
wilderssecurity
windowsupdate


ワームは、現在の日時を取得するために次のサーバーへ接続します。

ask.com
baidu.com
facebook.com
google.com
imageshack.us
rapidshare.com
w3.org
yahoo.com


ワームは、次の文字列が含まれるドメインへのアクセスを遮断します。

agnitum
ahnlab
anti-
antivir
arcabit
avast
avgate
avira
bothunter
castlecops
ccollomb
centralcommand
clamav
comodo
computerassociates
conficker
cpsecure
cyber-ta
defender
downad
drweb
dslreports
emsisoft
esafe
eset
etrust
ewido
f-prot
f-secure
fortinet
free-av
freeav
gdata
grisoft
hackerwatch
hacksoft
hauri
ikarus
jotti
k7computing
kaspersky
kido
malware
mcafee
microsoft
mirage
msftncsi
msmvps
mtc.sri
networkassociates
nod32
norman
norton
onecare
panda
pctools
prevx
ptsecurity
quickheal
removal
rising
rootkit
safety.live
securecomputing
secureworks
sophos
spamhaus
spyware
sunbelt
symantec
technet
threat
threatexpert
trendmicro
trojan
virscan
virus
wilderssecurity
windowsupdate


現在のシステム日時とマッチすると、ワームはインターネットからいくつかのファイルをダウンロードします。

URLアドレスは、ランダムに生成されます。トップレベルのドメインは次の中から選ばれます。

.ac
.ae
.ag
.am
.as
.at
.be
.bo
.bz
.ca
.cd
.ch
.cl
.cn
.co.cr
.co.id
.co.il
.co.ke
.co.kr
.co.nz
.co.ug
.co.uk
.co.vi
.co.za
.com.ag
.com.ai
.com.ar
.com.bo
.com.br
.com.bs
.com.co
.com.do
.com.fj
.com.gh
.com.gl
.com.gt
.com.hn
.com.jm
.com.ki
.com.lc
.com.mt
.com.mx
.com.ng
.com.ni
.com.pa
.com.pe
.com.pr
.com.pt
.com.py
.com.sv
.com.tr
.com.tt
.com.tw
.com.ua
.com.uy
.com.ve
.cx
.cz
.dj
.dk
.dm
.ec
.es
.fm
.fr
.gd
.gr
.gs
.gy
.hk
.hn
.ht
.hu
.ie
.im
.in
.ir
.is
.kn
.kz
.la
.lc
.li
.lu
.lv
.ly
.md
.me
.mn
.ms
.mu
.mw
.my
.nf
.nl
.no
.pe
.pk
.pl
.ps
.ro
.ru
.sc
.sg
.sh
.sk
.su
.tc
.tj
.tl
.tn
.to
.tw
.us
.vc
.vn


ワームは、暗号化されかつ署名されたファイルのみ実行します。このファイルは次の場所へ保存されます。

%temp%


保存が成功した場合は、次のファイル名で保存されます。

%variable%.tmp

※ %variable% には、可変的な文字列が入ります。


ワームは、ブラックリストしたIPアドレスのリストを持っています。

また、ワームはランダムにTCP/UDPポートを開けます。

ワームは、自身のネットワーク(ボットネット)の中で、インターネットもしくは他のリモートコンピュータから活動のためのデータと命令を受けます。

ワームは、Windows のタスクに次の名前でスケジュールで自分自身を実行させるための登録をします。

AT%numeric%

※ %numeric%は適当な数値が入ります。


現在のシステム日時とマッチすると、ワームはインターネットからいくつかのファイルをダウンロードし、これらのファイルは実行されます。このワームは、1つのURLリストを含まれています。

ワームは、次のレジストリを設定する場合があります。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"%port number%:TCP" = "%port number%:TCP:*:Enabled:%variable%"


これにより、Windows ファイアウォールの例外にワームが通信する内容が許可されることになります。

このページのトップへ

(C)Canon IT Solutions Inc.