McAfee for Small Businesses

ウイルス名 危険度 W32/Conficker.worm.gen.c 企業ユーザ: 低 個人ユーザ: 低 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) 5549 対応定義ファイル (現在必要とされるバージョン) 5573　（現在7109) 対応エンジン 5.2.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Mal/Conficker-B [Sophos] Trojan-Downloader.Win32.Kido.a [Kaspersky] W32.Downadup.C [Symantec] W32/Conficker.D.worm [Panda] W32/Conficker.LO [Norman] Win32.Worm.Downadup.Gen [BitDefender] Worm.Win32.MS08-067.c [Rising] Worm:Win32/Conficker.D [Microsoft] 情報掲載日 2009/03/25 発見日（米国日付） 2009/03/10 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 06/18 RDN/Generic.... 06/18 VBS/LoveLett... 06/18 RDN/Generic ... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7109  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・W32/Conficker.wormが実行されると、ランダムな名前を使って、%Sysdir%フォルダに自身をコピーします。 （%Sysdir%はWindowsのシステムフォルダ。例：C:\Windows\System32） ・以下のレジストリキーを改変し、感染したシステムにランダムな名前のサービスを作成します。 Hkey_Local_Machine\System\CurrentControlSet\Services\{ランダム}\Parameters\"ServiceDll" = "Path to worm" Hkey_Local_Machine\System\CurrentControlSet\Services\{ランダム}\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs ・マシンをセーフモードで起動できないようにするため、以下のレジストリキーを削除します。 HKEY_Local_Machine\System\CurrentControlSet\Control\SafeBoot ・以下のWebサイトに接続し、感染したコンピュータのパブリックIPアドレスを入手しようとします。 getmyip.org getmyip.co.uk checkip.dyndns.org whatsmyipaddress.com ・おそらくサイトのアクセス数を増やすため、以下のサイトに接続します。 adsrevenue.net aweber.com clicksor.com doubleclick.com fastclick.com linkbucks.com megaclick.com paypopup.com ・感染マシンのランダムなポートでHTTPサーバを開設し、W32/Conficker.wormのコピーをホストします。その後、感染したホストのサブネットを絶えずスキャンして、脆弱なマシンを探し、エクスプロイトを実行します。 ・成功すると、リモートコンピュータがHTTPサーバに接続し、W32/Conficker.wormをダウンロードします。 ・W32/Conficker.wormの亜種の中には、スケジュールされたタスクとAutorun.infファイルを使って脆弱でないシステムに自身を複製したり、駆除された後に感染していたシステムに再感染したりするものがあることが確認されています。 ・名前に以下の文字列を含むプロセスを終了します。 autoruns avenger confick downad filemon gmer hotfix kb890 kb958 kido klwk mbsa. mrt. mrtstub ms08-06 procexp procmon regmon scct_ sysclean tcpview unlocker wireshark ・以下の文字列を含むセキュリティ関連のドメインにユーザがアクセスできないようにします。 agnitum ahnlab anti- antivir arcabit avast avgate avira bothunter castlecops ccollomb centralcommand clamav comodo computerassociates conficker cpsecure cyber-ta defender drweb dslreports emsisoft esafe eset etrust ewido f-prot f-secure fortinet free-av freeav gdata grisoft hackerwatch hacksoft hauri ikarus jotti k7computing kaspersky malware mcafee microsoft mirage msftncsi msmvps mtc.sri networkassociates nod32 norman norton onecare panda pctools prevx ptsecurity quickheal removal rising rootkit safety.live securecomputing secureworks sophos spamhaus spyware sunbelt symantec technet threat threatexpert trendmicro trojan virscan virus wilderssecurity windowsupdate ・W32/Conficker.worm.gen.cは自身のジェネレータアルゴリズムを使って50,000のドメイン名を生成します。 ・以下はW32/Conficker.worm.gen.cの分解スナップショットです。 ・以下の接尾辞が生成されたドメインに付加されます。たとえば、116の異なる接尾辞を使用します。 com.ve com.uy com.ua com.tw com.tt com.tr com.sv com.py com.pt com.pr com.pe com.pa com.ni com.ng com.mx com.mt com.lc com.ki com.jm com.hn com.gt com.gl com.gh com.fj com.do com.co com.bs com.br com.bo com.ar com.ai com.ag co.za co.vi co.uk co.ug co.nz co.kr co.ke co.il co.id co.cr ・バイナリの解析により、W32/Conficker.worm.gen.cは上記アルゴリズムで生成されたドメインへの接続を利用することにより、4月１日にトリガする可能性があることが判明しています。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 「ウイルスの特徴」に記載されているファイル、レジストリ、ネットワーク通信が存在します。 管理共有へのアクセスが拒否されます。 スケジュールされたタスクが作成されます。 セキュリティ関連のWebサイトへのアクセスがブロックされます。 感染方法 TOPへ戻る ・W32/Conficker.worm.gen.cはMS08-067のMicrosoft Windows Serverサービスの脆弱性を利用して繁殖します。駆除後の再感染を防ぐため、マシンに修正プログラムを適用し、再起動してください。 ・W32/Conflicker.worm.gen.cが検出された場合、システムを再起動して、きちんとメモリを消去する必要があります。2回以上の再起動が必要な場合もあります。W32/Conflicker.worm.gen.cを再開するため、スケジュールされたタスクとAutorun.infファイルがシステムで作成されることが確認されています。 駆除方法 TOPへ戻る ・W32/Conficker.wormに感染したユーザは,メモリ内の残りのW32/Conficker.wormを削除するために、最新のウイルス定義ファイルを使用して、オンデマンドスキャンを行ってください。 ・W32/Conficker!memの検出と再起動によりW32/Conficker.wormのコンポーネントは削除されます。