ウイルス情報

ウイルス名 危険度

W32/Conficker.worm.gen.a

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
5485
対応定義ファイル
(現在必要とされるバージョン)
5657 (現在7709)
対応エンジン 5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Worm:Win32/Conficker.A (Microsoft)
Crypt.AVL (AVG)
Mal/Conficker-A (Sophos)
Trojan.Win32.Pakes.lxf (F-Secure)
Trojan.Win32.Pakes.lxf (Kaspersky)
W32.Downadup (Symantec)
Worm:Win32/Conficker.B (Microsoft)
WORM_DOWNAD.A (Trend Micro)
情報掲載日 2010/05/20
発見日(米国日付) 2009/01/06
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・W32/Conficker.worm.gen.aは主な感染手段としてMS08-067の脆弱性を利用するワームです。また、「感染方法」に記載されている一般的な感染方法も利用します。さらに、感染したシステムにさまざまなファイルをダウンロードして実行します。

-- 2010年5月19日更新 --

ファイル情報

  • MD5 - 515EA537628F3371FBAC9A332854062D
  • SHA - C6681B210E720B9BA5BA3DDD189601B1FAA2B531

TOPへ戻る

ウイルスの特徴

・「W32/Conficker.worm.gen.a」はローカルネットワークやリムーバブルメディアを介して拡散し、圧縮プログラムで圧縮されています。

・実行時、以下の場所に自身をコピーします。

  • %Sysdir%\wnnskeb.dll
  • %RemovableDrive%\RECYCLER\S-5-3-[不定]\jwgkvsq.vmx

・また、アクセス可能なディスクボリュームのルートにautorun.infファイルを作成しようとします。

  • %RemovableDrive%\autorun.inf

・また、Windowsエクスプローラの表示設定を変更するため、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue = 0

・脆弱性を利用するため、リモートマシンの管理者アカウントに接続しようとします。以下のパスワードを使って、総当たり攻撃を仕掛けます。

  • 99999999
  • 9999999
  • 999999
  • 99999
  • 88888888
  • 8888888
  • 888888
  • 88888
  • 77777777
  • 7777777
  • 777777
  • 77777
  • 66666666
  • 6666666
  • 666666
  • 66666
  • 55555555
  • 5555555
  • 555555
  • 55555
  • 44444444
  • 4444444
  • 444444
  • 44444
  • 33333333
  • 3333333
  • 333333
  • 33333
  • 22222222
  • 2222222
  • 222222
  • 22222
  • 11111111
  • 1111111
  • 111111
  • 11111
  • 0
  • 0
  • 0
  • 987654321
  • 987654321
  • 87654321
  • 7654321
  • 654321
  • 54321
  • zzzzz
  • xxxxx
  • qqqqq
  • aaaaa
  • intranet
  • controller
  • killer
  • games
  • private
  • market
  • coffee
  • cookie
  • forever
  • freedom
  • student
  • account
  • academia
  • files
  • windows
  • monitor
  • unknown
  • anything
  • letitbe
  • letmein
  • domain
  • access
  • money
  • campus
  • explorer
  • exchange
  • customer
  • cluster
  • nobody
  • codeword
  • codename
  • changeme
  • desktop
  • security
  • secure
  • public
  • system
  • shadow
  • office
  • supervisor
  • superuser
  • share
  • super
  • secret
  • server
  • computer
  • owner
  • backup
  • database
  • lotus
  • oracle
  • business
  • manager
  • temporary
  • ihavenopass
  • nothing
  • nopassword
  • nopass
  • Internet
  • internet
  • example
  • sample
  • love123
  • boss123
  • work123
  • home123
  • mypc123
  • temp123
  • test123
  • qwe123
  • abc123
  • pw123
  • root123
  • pass123
  • pass12
  • pass1
  • admin123
  • admin12
  • admin1
  • password123
  • password12
  • password1
  • default
  • foobar
  • foofoo
  • temptemp
  • testtest
  • rootroot
  • adminadmin
  • mypassword
  • mypass
  • Login
  • login
  • Password
  • password
  • passwd
  • zxcvbn
  • zxcvb
  • zxccxz
  • zxcxz
  • qazwsxedc
  • qazwsx
  • q1w2e3
  • qweasdzxc
  • asdfgh
  • asdzxc
  • asddsa
  • asdsa
  • qweasd
  • qwerty
  • qweewq
  • qwewq
  • nimda
  • administrator
  • Admin
  • admin
  • a1b2c3
  • 1q2w3e
  • 1234qwer
  • 1234abcd
  • 123asd
  • 123qwe
  • 123abc
  • 123321
  • 12321
  • 123123
  • 1234567890
  • 123456789
  • 12345678
  • 1234567
  • 123456
  • 12345

・また、リモートポート1900を使って、239.[削除].250に接続します。

------------------------------

・実行時、ランダムな名前を使って、%Sysdir%フォルダに自身をコピーします。

(%Sysdir%はWindowsシステムフォルダ(例:C:\Windows\System32)、%RemovableDrive%はシステムに差し込まれたリムーバブルドライブ)

・新しい亜種は以下に自身のコピーをドロップ(作成)することが確認されています。

  • %Program Files%\Internet Explorer\[ランダム].dll
  • %Program Files%\Movie Maker\[ランダム].dll
  • %All Users Application Data%\[ランダム].dll
  • %Temp%\[ランダム].dll
  • %System%\[ランダム].tmp
  • %Temp%\[ランダム].tmp

・[ランダム]は4〜8文字のランダムな名前です。

・NTFSファイルシステムにドロップされたファイルはアクセス許可を改変します。すべてのユーザおよびグループのファイルへのアクセス権が完全に削除されます。これにより、検出、駆除されにくいようにします。

・以下のレジストリキーを改変し、感染したシステムにランダムな名前のサービスを作成します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{ランダム}\Parameters\"ServiceDll" = "Path to worm"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{ランダム}\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs

・複数の亜種は、主なACLを変更して上記のレジストリキーへのアクセス権を削除します。また、これにより、サービスキーが検出、駆除されにくいようにします。ハードコード化されたリストの単語を関連づけて、動的にサービス名を生成します。

  • Boot
  • Center
  • Config
  • Driver
  • Helper
  • Image
  • Installer
  • Manager
  • Microsoft
  • Monitor
  • Network
  • Security
  • Server
  • Shell
  • Support
  • System
  • Task
  • Time
  • Universal
  • Update
  • Windows

・動作中のプロセスに自身を挿入します。以下に自身を挿入する亜種が複数確認されています。

  • svchost.exe
  • explorer.exe
  • services.exe

・以下のWebサイトに接続し、感染したコンピュータのパブリックIPアドレスを入手しようとします。

  • hxxp://www.getmyip.org
  • hxxp://getmyip.co.uk
  • hxxp://checkip.dyndns.org
  • hxxp://whatsmyipaddress.com

・リモートサイトからマルウェアファイルをダウンロードしようとします。

hxxp://trafficconverter.biz/[削除]antispyware/[削除].exe

・新しい亜種は上記以外のさまざまなホストに接続します。

・感染マシンのランダムなポートでHTTPサーバを開設し、W32/Conficker.wormのコピーをホストします。

・感染したホストのサブネットを絶えずスキャンして、脆弱なマシンを探し、エクスプロイトを実行します。成功すると、リモートコンピュータがHTTPサーバに接続し、W32/Conficker.wormのコピーをダウンロードします。HTTP接続はランダムなポートで行われ、転送ファイルには以下の拡張子が付けられています。

  • bmp
  • gif
  • jpeg
  • png

・比較的新しいW32/Conficker.wormの亜種は、ターゲットマシンで収集した資格情報とユーザ名、ハードコード化されたパスワードを使って、リモートホストに接続しようとします。その際、パスワードの入力失敗回数を制限するポリシーが設定されているドメインアカウントをロックダウンする可能性があります。

・リモートシステムへのアクセスに成功すると、$sysdir%フォルダに自身のコピーをドロップし、コピーを実行するスケジュールタスクを作成します。また、リモートの「Recycle Bin」フォルダにコピーとAutorun.infファイルを作成する可能性があります。

・これらの手法により、脆弱でないシステムに自身を複製したり、以前感染し、駆除されたシステムに再感染する可能性があります。

・セキュリティサイトへのアクセスを防ぐため、システムAPIにフックします。ロックされるドメインの一例は以下のとおりです。

  • ahnlab
  • arcabit
  • avas
  • avg
  • avira
  • avp
  • bit9
  • ca
  • castlecops
  • centralcommand
  • cert
  • clamav
  • comodo
  • computerassociates
  • cpsecure
  • drweb
  • emsisoft
  • esafe
  • eset
  • etrust
  • ewido
  • fortinet
  • f-prot
  • f-secure
  • gdata
  • grisoft
  • hacksoft
  • hauri
  • ikarus
  • jotti
  • k7computing
  • kaspersky
  • mcafee
  • microsoft
  • nai
  • networkassociates
  • nod32
  • norman
  • norton
  • panda
  • pctools
  • prevx
  • quickheal
  • rising
  • sans
  • securecomputing
  • sophos
  • spamhaus
  • sunbelt
  • symantec
  • threatexpert
  • trendmicro
  • vet
  • wilderssecurity
  • windowsupdate

・また、感染により、一部のセキュリティサービスが無効になる場合があります。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • MS08-067の脆弱性を利用するため、ポート445でネットワークポートスキャンを実行します。
  • 上記のドメインにアクセスします。
  • 最大ログイン試行回数に達したため、ドメインアカウントがロックされます。
  • 空の許可を持つ特定ファイル、レジストリキーに上記のファイルおよびレジストリキーが存在します。
  • スケジュールされたタスクが作成されます。
  • autorun.infファイルが作成されます。
  • セキュリティ関連のWebサイトへのアクセスがブロックされます。

TOPへ戻る

感染方法

・W32/Conficker.worm.gen.aはMS08-067のMicrosoft Windows Serverサービスの脆弱性を利用して繁殖します。駆除後の再感染を防ぐため、マシンに修正プログラムを適用し、再起動してください。

・また、リモートシステムのパスワードを総当たりで解読し、ターゲットマシンにスケジュールされたタスク、autorun.infファイルをインストールして拡散します。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る