・「W32/Conficker.worm.gen.a」はローカルネットワークやリムーバブルメディアを介して拡散し、圧縮プログラムで圧縮されています。
・実行時、以下の場所に自身をコピーします。
- %Sysdir%\wnnskeb.dll
- %RemovableDrive%\RECYCLER\S-5-3-[不定]\jwgkvsq.vmx
・また、アクセス可能なディスクボリュームのルートにautorun.infファイルを作成しようとします。
- %RemovableDrive%\autorun.inf
・また、Windowsエクスプローラの表示設定を変更するため、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0
・脆弱性を利用するため、リモートマシンの管理者アカウントに接続しようとします。以下のパスワードを使って、総当たり攻撃を仕掛けます。
- 99999999
- 9999999
- 999999
- 99999
- 88888888
- 8888888
- 888888
- 88888
- 77777777
- 7777777
- 777777
- 77777
- 66666666
- 6666666
- 666666
- 66666
- 55555555
- 5555555
- 555555
- 55555
- 44444444
- 4444444
- 444444
- 44444
- 33333333
- 3333333
- 333333
- 33333
- 22222222
- 2222222
- 222222
- 22222
- 11111111
- 1111111
- 111111
- 11111
- 0
- 0
- 0
- 987654321
- 987654321
- 87654321
- 7654321
- 654321
- 54321
- zzzzz
- xxxxx
- qqqqq
- aaaaa
- intranet
- controller
- killer
- games
- private
- market
- coffee
- cookie
- forever
- freedom
- student
- account
- academia
- files
- windows
- monitor
- unknown
- anything
- letitbe
- letmein
- domain
- access
- money
- campus
- explorer
- exchange
- customer
- cluster
- nobody
- codeword
- codename
- changeme
- desktop
- security
- secure
- public
- system
- shadow
- office
- supervisor
- superuser
- share
- super
- secret
- server
- computer
- owner
- backup
- database
- lotus
- oracle
- business
- manager
- temporary
- ihavenopass
- nothing
- nopassword
- nopass
- Internet
- internet
- example
- sample
- love123
- boss123
- work123
- home123
- mypc123
- temp123
- test123
- qwe123
- abc123
- pw123
- root123
- pass123
- pass12
- pass1
- admin123
- admin12
- admin1
- password123
- password12
- password1
- default
- foobar
- foofoo
- temptemp
- testtest
- rootroot
- adminadmin
- mypassword
- mypass
- Login
- login
- Password
- password
- passwd
- zxcvbn
- zxcvb
- zxccxz
- zxcxz
- qazwsxedc
- qazwsx
- q1w2e3
- qweasdzxc
- asdfgh
- asdzxc
- asddsa
- asdsa
- qweasd
- qwerty
- qweewq
- qwewq
- nimda
- administrator
- Admin
- admin
- a1b2c3
- 1q2w3e
- 1234qwer
- 1234abcd
- 123asd
- 123qwe
- 123abc
- 123321
- 12321
- 123123
- 1234567890
- 123456789
- 12345678
- 1234567
- 123456
- 12345
・また、リモートポート1900を使って、239.[削除].250に接続します。
------------------------------
・実行時、ランダムな名前を使って、%Sysdir%フォルダに自身をコピーします。
(%Sysdir%はWindowsシステムフォルダ(例:C:\Windows\System32)、%RemovableDrive%はシステムに差し込まれたリムーバブルドライブ)
・新しい亜種は以下に自身のコピーをドロップ(作成)することが確認されています。
- %Program Files%\Internet Explorer\[ランダム].dll
- %Program Files%\Movie Maker\[ランダム].dll
- %All Users Application Data%\[ランダム].dll
- %Temp%\[ランダム].dll
- %System%\[ランダム].tmp
- %Temp%\[ランダム].tmp
・[ランダム]は4〜8文字のランダムな名前です。
・NTFSファイルシステムにドロップされたファイルはアクセス許可を改変します。すべてのユーザおよびグループのファイルへのアクセス権が完全に削除されます。これにより、検出、駆除されにくいようにします。
・以下のレジストリキーを改変し、感染したシステムにランダムな名前のサービスを作成します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{ランダム}\Parameters\"ServiceDll" = "Path to worm"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{ランダム}\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
・複数の亜種は、主なACLを変更して上記のレジストリキーへのアクセス権を削除します。また、これにより、サービスキーが検出、駆除されにくいようにします。ハードコード化されたリストの単語を関連づけて、動的にサービス名を生成します。
- Boot
- Center
- Config
- Driver
- Helper
- Image
- Installer
- Manager
- Microsoft
- Monitor
- Network
- Security
- Server
- Shell
- Support
- System
- Task
- Time
- Universal
- Update
- Windows
・動作中のプロセスに自身を挿入します。以下に自身を挿入する亜種が複数確認されています。
- svchost.exe
- explorer.exe
- services.exe
・以下のWebサイトに接続し、感染したコンピュータのパブリックIPアドレスを入手しようとします。
- hxxp://www.getmyip.org
- hxxp://getmyip.co.uk
- hxxp://checkip.dyndns.org
- hxxp://whatsmyipaddress.com
・リモートサイトからマルウェアファイルをダウンロードしようとします。
hxxp://trafficconverter.biz/[削除]antispyware/[削除].exe
・新しい亜種は上記以外のさまざまなホストに接続します。
・感染マシンのランダムなポートでHTTPサーバを開設し、W32/Conficker.wormのコピーをホストします。
・感染したホストのサブネットを絶えずスキャンして、脆弱なマシンを探し、エクスプロイトを実行します。成功すると、リモートコンピュータがHTTPサーバに接続し、W32/Conficker.wormのコピーをダウンロードします。HTTP接続はランダムなポートで行われ、転送ファイルには以下の拡張子が付けられています。
・比較的新しいW32/Conficker.wormの亜種は、ターゲットマシンで収集した資格情報とユーザ名、ハードコード化されたパスワードを使って、リモートホストに接続しようとします。その際、パスワードの入力失敗回数を制限するポリシーが設定されているドメインアカウントをロックダウンする可能性があります。
・リモートシステムへのアクセスに成功すると、$sysdir%フォルダに自身のコピーをドロップし、コピーを実行するスケジュールタスクを作成します。また、リモートの「Recycle Bin」フォルダにコピーとAutorun.infファイルを作成する可能性があります。
・これらの手法により、脆弱でないシステムに自身を複製したり、以前感染し、駆除されたシステムに再感染する可能性があります。
・セキュリティサイトへのアクセスを防ぐため、システムAPIにフックします。ロックされるドメインの一例は以下のとおりです。
- ahnlab
- arcabit
- avas
- avg
- avira
- avp
- bit9
- ca
- castlecops
- centralcommand
- cert
- clamav
- comodo
- computerassociates
- cpsecure
- drweb
- emsisoft
- esafe
- eset
- etrust
- ewido
- fortinet
- f-prot
- f-secure
- gdata
- grisoft
- hacksoft
- hauri
- ikarus
- jotti
- k7computing
- kaspersky
- mcafee
- microsoft
- nai
- networkassociates
- nod32
- norman
- norton
- panda
- pctools
- prevx
- quickheal
- rising
- sans
- securecomputing
- sophos
- spamhaus
- sunbelt
- symantec
- threatexpert
- trendmicro
- vet
- wilderssecurity
- windowsupdate
・また、感染により、一部のセキュリティサービスが無効になる場合があります。
