Content
Confickerの特定と駆除
Conficker(旧名称:W32/Conficker.worm)は2008年末、Microsoft Windowsの脆弱性を利用したシステムへの感染を開始しました。以来、マカフィーではさらに2種類の亜種と、Confickerの悪質なペイロードが組み込まれた多くのバイナリ(すぐにメモリにロードして実行可能なファイル)を確認しました。Conficker.Cは最新の亜種で、「コールホームプロトコル」が4月1日水曜日に変わり、更新によって未知の機能が組み込まれる可能性があります。
マカフィーはすでに、エンドポイント、ネットワーク製品でConfickerワーム対策を提供しており、マイクロソフトはConfickerファミリーが繁殖に利用する脆弱性のセキュリティ修正プログラムを発行しています。にもかかわらず、依然として多くのコンピュータユーザが感染を心配しています。以下の情報は、Confickerワーム、感染したシステムの駆除方法、再感染対策について理解を深めるのに役立ちます。
Confickerワームとは
Conficker.CはConfickerワームの最新の亜種です。Conficker.Cに感染する危険性があるのは、Conficker.Cよりも前の亜種で、Microsoft Windows Serverサービスの脆弱性(MS08-067)を利用して動作するConficker.A、Conficker.Bに感染しているシステムだけです。脆弱性の利用に成功した場合、ファイル共有が有効に設定されると、リモートでのコードの実行が可能になります。Confickerは、スケジュールされたタスクを作成し、自身を再起動するAutorun.infファイルを利用することで、根絶を図る取り組みに対抗します。
マカフィーでは、Confickerのペイロードが組み込まれたバイナリを多数確認しています。亜種によっては、LAN、WAN、Web、リムーバブルドライブを介し、安全性の低いパスワードを利用して拡散する場合があります。Confickerは、複数の重要なシステムサービスおよびセキュリティ製品を無効にし、任意のファイルをダウンロードします。Confickerに感染したコンピュータは、乗っ取られたコンピュータの「一軍」の一部として、Webサイトへの攻撃、スパムの配信、フィッシングサイトのホストなど、悪質な活動を行うのに利用される可能性があります。
システムが感染しているかどうか確認する方法
Confickerに感染した場合の症状の一例は以下の通りです。
- セキュリティ関連サイトへのアクセスがブロックされます。
- ユーザがフォルダから閉め出されます。
- ポート445でディレクトリサービス(DS)以外のサーバにトラフィックが送られます。
- 管理者共有ドライブへのアクセスが拒否されます。
- recycledディレクトリ、またはごみ箱にAutorun.infファイルが入れられます。
Confickerの駆除、再感染防止手順
以下の手順を実行して、W32/Conficker.wormを駆除し、拡散を防ぐことをお勧めします。
- マイクロソフトセキュリティ更新プログラムMS08-067(http://www.microsoft.com/japan/technet/security/Bulletin/MS08-067.mspx)をインストールする
- 感染システムを駆除して再起動する
マカフィー・ウイルススキャンプラス、McAfee Total Protection (ToPS) for Endpointなどのマルウェア対策ソリューションを使って、感染システムを駆除します。ホストIPSのバッファオーバーフロー対策などのビヘイビア検知機能を使って、以降の感染を防ぎます。Confickerは感染したUSBドライバなどのポータブルメディアを介して繁殖可能なため、これは重要なことです。メディアへのアクセスが行われると、システムはAutorun.infを処理し、攻撃を実行します。詳しくはMcAfee Labsの「Confickerワーム対策(英語版)(PDF)」をお読みください。 - 感染の危険がある他のシステムを特定する
どのシステムが危険にさらされているのかを特定する必要があります。例えば、マイクロソフトの脆弱性MS08-067の修正プログラムが適用されていないシステム、脆弱性を緩和するためのプロアクティブな対策が施されていないシステムが挙げられます。McAfee Vulnerability Manager、ePolicy Orchestratorでは、脆弱で防護されていないシステムを特定できます。 - 脅威の拡散能力を制限する
ネットワークの戦略ポイントでネットワークIPSを使用することで、すぐに脅威の拡散能力を制限できます。これにより、クライアントのウイルス対策シグネチャを更新したり、ビヘイビア制御により脅威を阻止するためにポリシーを改変したりする時間を稼げます。
マカフィー製品のConfickerワーム対応状況
| マカフィー製品 | 対応状況 |
|---|---|
| マカフィー・ウイルススキャンプラス マカフィー・インターネットセキュリティ マカフィー・トータルプロテクション |
最新のシグネチャ(DAT)ファイルには、Confickerの検出、修復が組み込まれており、最近、アップデートを実行した場合には、すでに対策が施されています。 |
| McAfee Total Protection (ToPS) for Endpoint & McAfee SaaS Endpoint Protection(旧名称:McAfee Total Protection Service) | シグネチャ(DAT)ファイルにはConfickerの検出、修復が組み込まれています。 スキャンエンジンのバッファオーバーフロー対策、ホストIPSのGeneric Buffer Overflowにより、コード実行のエクスプロイトに対処できる見込みです。また、ホストIPSには、「リモートでコードが実行される可能性のあるServerサービスの脆弱性」(CVE-2008-4250)のシグネチャも組み込まれています。 |
| Network Security Platform (旧名称:IntruShield) | 「Microsoft Serverサービスのリモートでのコードの実行の脆弱性」への対応が組み込まれています。 |
| McAfee Network Access Control | 修正プログラムが適用されていないノードを特定し、ノードが更新されない限り、ネットワークへのアクセスを拒否します。 |
| McAfee Vulnerability Manager | MS08-067への対応が組み込まれており、Confickerに感染する恐れのあるマシン、Conficker.Cに感染したマシンを特定します。 |
| McAfee Conficker Detection Tool | Conficker.Cに感染したマシンを特定します。 |