製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス名危険度
W32/Conficker.worm
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		5444
対応定義ファイル
(現在必要とされるバージョン)		5578 (現在7080)
対応エンジン5.2.00以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名Worm:Win32/Conficker.A (Microsoft)
Crypt.AVL (AVG)
Mal/Conficker-A (Sophos)
Trojan.Win32.Pakes.lxf (F-Secure)
Trojan.Win32.Pakes.lxf (Kaspersky)
W32.Downadup (Symantec)
Worm:Win32/Conficker.B (Microsoft)
WORM_DOWNAD.A (Trend Micro)
情報掲載日2009/03/26
発見日(米国日付)2008/11/24
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/19RDN/Generic ...
05/19Generic Down...
05/19RDN/Download...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7080
 エンジン:5.4.00
 
ウイルス検索
 


概要TOPに戻る
-- 2009年3月10日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://www.thetechherald.com/article.php/200911/3157/Conficker-Worm-fighting-back-a-new-variant-discovered-disables-security-measures

・W32/Conficker.wormはMS08-067の脆弱性を利用して拡散するワームです。感染したシステムにさまざまなファイルをダウンロードして実行する可能性もあります。

ウイルスの特徴TOPに戻る
-- 2009年3月10日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://www.thetechherald.com/article.php/200911/3157/Conficker-Worm-fighting-back-a-new-variant-discovered-disables-security-measures

・W32/Conficker.wormの新しい亜種の拡散が確認されました。以下のフォルダに自身をコピーします。

  • %Sysdir%\[ランダム].dll
  • %Program Files%\Internet Explorer\[ランダム].dll
  • %Program Files%\Movie Maker\[ランダム].dll
  • %Program Files%\Windows Media Player\[ランダム].dll
  • %Program Files%\Windows NT\[ランダム].dll

・以下のサービスを無効にします。

  • WerSvc
  • ERSvc
  • BITS
  • wuauserv
  • WinDefend
  • wscsvc

・dnsapi.dllの以下の関数にフックします。

  • Query_Main
  • DnsQuery_W
  • DnsQuery_UTF8
  • DnsQuery_A

・ws2_32.dllの以下の関数にフックします。

  • sendto

・セーフモードで再起動できないよう、以下のレジストリキーを削除します。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

・以下のレジストリキーを削除します。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Windows Defender

・名前に以下の文字列を含むプロセスを終了します。

  • wireshark
  • unlocker
  • tcpview
  • sysclean
  • scct_
  • regmon
  • procmon
  • procexp
  • ms08-06
  • mrtstub
  • mrt.
  • mbsa.
  • klwk
  • kido
  • kb958
  • kb890
  • hotfix
  • gmer
  • filemon
  • downad
  • confick
  • avenger
  • autoruns

・ユーザがセキュリティ関連のドメインにアクセスできないようにするため、以下の文字列を含むドメインへのネットワークアクセスを行えないようにします。

  • windowsupdate
  • wilderssecurity
  • virus
  • virscan
  • trojan
  • trendmicro
  • threatexpert
  • threat
  • technet
  • symantec
  • sunbelt
  • spyware
  • spamhaus
  • sophos
  • secureworks
  • securecomputing
  • safety.live
  • rootkit
  • rising
  • removal
  • quickheal
  • ptsecurity
  • prevx
  • pctools
  • panda
  • onecare
  • norton
  • norman
  • nod32
  • networkassociates
  • mtc.sri
  • msmvps
  • msftncsi
  • mirage
  • microsoft
  • mcafee
  • malware
  • kaspersky
  • k7computing
  • jotti
  • ikarus
  • hauri
  • hacksoft
  • hackerwatch
  • grisoft
  • gdata
  • freeav
  • free-av
  • fortinet
  • f-secure
  • f-prot
  • ewido
  • etrust
  • eset
  • esafe
  • emsisoft
  • dslreports
  • drweb
  • defender
  • cyber-ta
  • cpsecure
  • conficker
  • computerassociates
  • comodo
  • clamav
  • centralcommand
  • ccollomb
  • castlecops
  • bothunter
  • avira
  • avgate
  • avast
  • arcabit
  • antivir
  • anti-
  • ahnlab
  • agnitum

・Confickerの最新の亜種は自身のジェネレータアルゴリズムを使って50,000のドメイン名を生成することが確認されています。以下はW32/Conficker.wormの分解スナップショットです。

・以下の接尾辞が生成されたドメインに付加されます。たとえば、116の異なる接尾辞を使用します。

  • com.ve
  • com.uy
  • com.ua
  • com.tw
  • com.tt
  • com.tr
  • com.sv
  • com.py
  • com.pt
  • com.pr
  • com.pe
  • com.pa
  • com.ni
  • com.ng
  • com.mx
  • com.mt
  • com.lc
  • com.ki
  • com.jm
  • com.hn
  • com.gt
  • com.gl
  • com.gh
  • com.fj
  • com.do
  • com.co
  • com.bs
  • com.br
  • com.bo
  • com.ar
  • com.ai
  • com.ag
  • co.za
  • co.vi
  • co.uk
  • co.ug
  • co.nz
  • co.kr
  • co.ke
  • co.il
  • co.id
  • co.cr
-------------------------------------------------------------

・W32/Conficker.wormが実行されると、ランダムな名前を使って、%Sysdir%フォルダに自身をコピーします。

(%Sysdir%はWindowsのシステムフォルダ。例:C:\Windows\System32)

・以下のレジストリキーを改変し、感染したシステムにランダムな名前のサービスを作成します。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{ランダム}\Parameters\"ServiceDll" = "Path to worm"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{ランダム}\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs

・以下のWebサイトに接続し、感染したコンピュータのパブリックIPアドレスを入手しようとします。

  • hxxp://www.getmyip.org
  • hxxp://getmyip.co.uk
  • hxxp://checkip.dyndns.org
  • hxxp://whatsmyipaddress.com

・リモートサイトからマルウェアファイルをダウンロードしようとします。(問題のロシア語のサイトは現在も公開されていますが、ファイルはなくなっています。)

  • hxxp://trafficconverter.biz/[削除]antispyware/[削除].exe

・感染マシンのランダムなポートでHTTPサーバを開設し、W32/Conficker.wormのコピーをホストします。

・感染したホストのサブネットを絶えずスキャンして、脆弱なマシンを探し、エクスプロイトを実行します。成功すると、リモートコンピュータがHTTPサーバに接続し、W32/Conficker.wormをダウンロードします。

・W32/Conficker.wormの最近の亜種は、スケジュールされたタスクとAutorun.infファイルを使って脆弱でないシステムに自身を複製したり、駆除された後に感染していたシステムに再感染したりします。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・W32/Conficker.wormのファイル、レジストリ、ネットワーク通信については、「ウイルスの特徴」を参照してください。

・ユーザがフォルダ外でロックされます。

・管理共有へのアクセスが拒否されます。

・スケジュールされたタスクが作成されます。

・セキュリティ関連のWebサイトへのアクセスがブロックされます。

感染方法TOPへ戻る

・W32/Conficker.wormはMS08-067のMicrosoft Windows Serverサービスの脆弱性を利用して繁殖します。

・駆除後の再感染を防ぐため、マシンに修正プログラムを適用し、再起動してください。

・W32/Conficker.wormが検出された場合、システムを再起動して、きちんとメモリを消去する必要があります。2回以上の再起動が必要な場合もあります。

・W32/Conficker.wormを再開するため、スケジュールされたタスクがシステムで作成されることが確認されています。

・W32/Conficker.wormを再起動するため、Autorun.infファイルが使われていることが確認されています。

駆除方法TOPへ戻る

・W32/Conficker.wormに感染したユーザは,メモリ内の残りのW32/Conficker.wormを削除するために、最新のウイルス定義ファイルを使用して、オンデマンドスキャンを行ってください。

・W32/Conficker!memの検出と再起動によりW32/Conficker.wormのコンポーネントは削除されます。