Conficker.B の新亜種 Conficker.B の詳細については、MMPC (Microsoft Malware Protection Center) に掲載していますが、現状日本語情報が無いため、こちらに Analysis の抄訳を掲載しておきます。
原典は、http://www.microsoft.com/security/portal/Entry.aspx?name=Worm%3aWin32%2fConficker.B となります。
技術的な情報
Worm:Win32/Conficker.B は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上で別のコンピューターを感染させるワームです。
ファイル共有を有効にしている場合、この脆弱性が悪用され、リモートでコードが実行される可能性があります。また、リムーバブル ドライブで蔓延し、管理者パスワードを脆弱にする場合があります。いくつかの重要なシステム サービスやセキュリティ製品が無効になります。
感染
Worm:Win32/Conficker.B は、Windows のシステム フォルダーに <random>.dll の名を使用し、それ自身を隠し DLL ファイルとしてコピーします。悪用に失敗すると、次のフォルダーに同じパラメーターでそれ自身をコピーするよう試行します。
%ProgramFiles%\Internet Explorer
%ProgramFiles%\Movie Maker
次のレジストリ エントリを作成して、Windows が起動した際に、ドロップされたコピーを常に実行させます。
値の追加: “<random string>”
データ: “rundll32.exe <system folder>\<malware file name>.dll,<malware parameters>”
サブキー: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
また、システム ファイル _svchost.exe_が netsvcs グループを読み込む時に、起動しているサービスとしてそれ自身をロードします。
さらに、次のキーでそれ自身を登録して、偽のサービスとしてロードする可能性があります:
HKLM\SYSTEM\CurrentControlSet\Services
次の文字列から 2 種類を組み合わせて作成した表示名を使用する可能性があります:
Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows
また、表示名を作成するため、文字をランダムに組み合わせる可能性があります。
蔓延方法
脆弱なパスワードが含まれている共有ネットワークを悪用する
Worm:Win32/Conficker.B は、脆弱な ADMIN$ の共有パスワードが含まれているネットワーク内のマシンを感染させようとします。次のパスワードを使用し、このようなシステムへ管理者ログインを試行します。
123
1234
12345
123456
1234567
12345678
123456789
1234567890
123123
12321
123321
123abc
123qwe
123asd
1234abcd
1234qwer
1q2w3e
a1b2c3
admin
Admin
administrator
nimda
qwewq
qweewq
qwerty
qweasd
asdsa
asddsa
asdzxc
asdfgh
qweasdzxc
q1w2e3
qazwsx
qazwsxedc
zxcxz
zxccxz
zxcvb
zxcvbn
passwd
password
Password
login
Login
pass
mypass
mypassword
adminadmin
root
rootroot
test
testtest
temp
temptemp
foofoo
foobar
default
password1
password12
password123
admin1
admin12
admin123
pass1
pass12
pass123
root123
pw123
abc123
qwe123
test123
temp123
mypc123
home123
work123
boss123
love123
sample
example
internet
Internet
nopass
nopassword
nothing
ihavenopass
temporary
manager
business
oracle
lotus
database
backup
owner
computer
server
secret
super
share
superuser
supervisor
office
shadow
system
public
secure
security
desktop
changeme
codename
codeword
nobody
cluster
customer
exchange
explorer
campus
money
access
domain
letmein
letitbe
anything
unknown
monitor
windows
files
academia
account
student
freedom
forever
cookie
coffee
market
private
games
killer
controller
intranet
work
home
job
foo
web
file
sql
aaa
aaaa
aaaaa
qqq
qqqq
qqqqq
xxx
xxxx
xxxxx
zzz
zzzz
zzzzz
fuck
12
21
321
4321
54321
654321
7654321
87654321
987654321
0987654321
0
00
000
0000
00000
00000
0000000
00000000
1
11
111
1111
11111
111111
1111111
11111111
2
22
222
2222
22222
222222
2222222
22222222
3
33
333
3333
33333
333333
3333333
33333333
4
44
444
4444
44444
444444
4444444
44444444
5
55
555
5555
55555
555555
5555555
55555555
6
66
666
6666
66666
666666
6666666
66666666
7
77
777
7777
77777
777777
7777777
77777777
8
88
888
8888
88888
888888
8888888
88888888
9
99
999
9999
99999
999999
9999999
99999999
Win32/Conficker.B がマシンへのログオンに成功した場合、アクセス可能な admin の共有に、ADMIN$\System32\<random letters>.dll としてそれ自身をコピーします。このワームはリモートでジョブ スケジュールを作成 (コマンド - “rundll32.exe <malware file name>.dll,<malware parameters>")、コピーを有効にします。
マップされたドライブ
Worm:Win32/Conficker.B は、<random> ファイル名を使用して、すべてのマップされたドライブにそれ自身をコピーします。このワームはマップされたドライブのルートに ‘RECYCLER’ という名称のフォルダーを作成します。 Windows XP またはそれ以前のバージョンでは、フォルダー “RECYCLER” は “Recycle Bin” と示されます。次に、このワームは次のようにそれ自身をコピーします:
<drive:>\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\<random letters>.dll
%d の部分は文字がランダムに選択されます。このワームは関連の autorun.inf ファイルをドロップするので、ドライブのアクセスおよび自動再生機能が有効になった場合、自動でワームのコピーが実行されます。
**MS08-067 HTTP ‘**コール バック’
システムで蔓延する Worm:Win32/Conficker.B について、Windows Server サービス (SVCHOST.EXE) の脆弱性に対してセキュリティ更新プログラムを適用しておらず、脆弱性が悪用された場合、このワームが標的のコンピューターに侵入し、1024 から 10000 の間のランダム ポートを開き、HTTP プロトコルを介してホストコンピューターからワームのコピーをダウンロードします。この脆弱性に関する説明は、Microsoft Security Bulletin MS08-067 をご覧ください。
ペイロード
システムの構成を変更する
Worm:Win32/Conficker.B はシステム構成を変更するので、ユーザーは隠しファイルを表示できません。次のレジストリ エントリを変更して実行します。
値の追加: “CheckedValue”
データ: “0”
サブキー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
システムの TCP 構成を変更し、多くの同時接続を許可します (0x00FFFFFE は 16 進で、16,777,214 デシマル値です)。
値の追加: “TcpNumConnections”
データ: “0x00FFFFFE”
サブキー: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
このワームは一時ファイルをドロップし、変更を有効にするために TCP/IP を再起動させようとします。このドロップされたファイルは Trojan:WinNT/Conficker.B として検出されました。
サービスの終了および無効化
Worm:Win32/Conficker.B は、次のような重要なシステム サービスをいくつか終了させます。
Windows Update Service
Background Intelligent Transfer Service
Windows Defender
Windows Error Reporting Services
Win32/Conficker.B は Windows Defender 向けのレジストリ キーを削除し、システムが起動した際に実行させないようにし、Windows Vista TCP/IP の自己調整を無効にします。
また、次のいずれかの文字列が含まれるモジュール名を持つプロセスが、ネットワーク トラフィックまたはデータに送信できなくなります。 (文字列のほとんどがウイルス対策およびセキュリティ ソフトウェアに関連しているため、署名のアップデートの入手が事実上不可能になり、ユーザーがこれらの文字列を含む URL の Web サイトにアクセスできなくなることに注意してください):
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate
システムの復元ポイントをリセットする
Win32/Conficker.B は、コンピューターのシステムの復元ポイントをリセットする場合があり、システムの復元を使用するリカバリに失敗する可能性があります。
インターネット接続を確認する
Win32/Conficker.B はシステムがインターネット接続されているかを確認するため、次の Web サイトへの接続を試行します:
aol.com
cnn.com
ebay.com
msn.com
myspace.com
任意のファイルをダウンロードする
システムの日付により、Win32/Conficker.B は、ファイルをダウンロードするため、次のフォーマットのように 2009 年 1 月 1 日付で URL を構築する可能性があります。
http://<pseudo-random generated URL>/search?q=%d
生成された URL は、現在のシステムの日付が基になります。
構築された URL は、次の最上位のドメインのいずれかひとつを使用します:
.cc
.cn
.ws
.com
.net
.org
.info
.biz
構築された URL の例は以下の通りです:
aaovt.com
aasmlhzbpqe.com
addgv.com
ajsxarj.org
apwzjq.ws
aradfkyqv.org
arztiwbeh.cc
baixumxhmks.ws
bfwtjrto.org
bfwvzxd.info
bmaeqlhulq.cc
byiiureq.cn
cbizghsq.cc
cbkenfa.org
ciabjhmosz.cc
cruutiitz.com
ctnlczp.org
ctohyudfbm.cn
dcopyoojw.com
djdgnrbacwt.ws
dmwemynbrmz.org
dofmrfqvis.cn
doxkknuq.org
dozjritemv.info
dyjsialozl.ws
eaieijqcqlv.org
eewxsvtkyn.net
eidqdorgmbr.net
eiqzepxacyb.cn
ejdmzbzzaos.biz
ejmxd.com
ejzrcqqw.net
ekusgwp.cc
eprhdsudnnh.biz
evmwgi.ws
falru.net
fctkztzhyr.org
fdkjan.net
fhfntt.org
fhspuip.biz
fjpzgrf.net
fkzdr.cn
ftjggny.com
fuimrawg.info
ghdokt.cn
glbmkbmdax.biz
gmhkdp.org
gocpopuklm.org
grwemw.biz
gtzaick.cc
gxzlgsoa.info
gypqfjho.info
hduyjkrouop.info
hfgxlzjbfka.biz
hkgzoi.com
hliteqmjyb.net
hmdtv.ws
hoyolhmnzbs.net
hprfux.cc
hqbttlqr.org
hueminaii.org
hvogkfiq.info
ifylodtv.ws
iivsjpfumd.ws
ilksbuv.cn
imuez.biz
izxvu.biz
jaumgubte.biz
jhbeiiizlfk.cn
jrdzx.cc
jshkqnnkeao.biz
judhei.com
jxfiysai.cc
jzoowlbehqn.info
karhhse.com
kbyjkjkbb.info
kjsxokxg.org
krudjhvk.org
kuiwtbfa.org
lauowjef.cn
lhirjymcod.net
liugwg.net
lksvlouw.ws
llgkuclk.info
lnpsesbcm.cn
lssvxqkqfmf.org
lygskbx.cc
mafwkeat.cn
mgqrrsxhnj.com
mhklpsbuh.cc
mknuzwq.cc
mqjkzbov.net
myfhc.com
navjrj.org
nbpykcdsoms.com
ncbeaucjxd.org
npfxmztnaw.cn
nuiptipwjj.cc
nvpmfnlsh.ws
oagwongs.ws
odvsz.net
okkpuzqck.ws
oqolfrjq.cn
orduhippw.cn
orpngykld.com
orxfq.ws
othobnrx.org
otnqqaclsgx.info
otukeesevg.biz
pbfhhhvzkp.cc
pbpigz.cn
pcnpxbg.cc
pdfrbmxh.biz
pfdthjxs.cc
phaems.cc
phetxwmjqsj.cc
pmanbkyshj.ws
pnjlx.cc
ppzwqcdc.cc
psabcdq.cc
ptdlwsi.cn
pvowgkgjmu.biz
pwsjbdkdewv.info
qbuic.com
qdteltj.org
qeotxrp.com
qfeqsagbjs.biz
qfhqgciz.org
qfogch.com
qijztpxaxk.cn
qlqrgqordj.ws
qpiivu.cn
qpuowsw.cc
qqbbg.cc
qrrzna.net
qvrgznvvwz.ws
qwdervbq.org
qwnydyb.cc
qzbpqbhzmp.com
rkfdx.org
rpphv.org
rskvraofl.info
ryruatsot.biz
sdkhznqj.info
sezpo.org
sfozmwybm.com
skwmyjq.org
solmpem.com
sqmsrvnjits.cc
stlgegbye.net
syryb.org
tdwrkv.ws
tfpazwas.cc
tigeseo.org
tjyhrcfxuc.cn
tkbyxr.ws
tlmncy.cn
tmlwmvv.ws
tnerivsvs.net
tomxoa.org
trpkeyqapp.net
tyjtkayz.com
uazlwwiv.org
ucgqvyjgpk.cn
uixvflbyoyi.biz
ujawdcoqgs.org
upxva.net
uuvjh.biz
uzugvbnvs.cn
vgmkhtux.ws
vjllpcucnp.cn
vkgxgxto.com
vwiualt.com
waxggypgu.org
wccckyfrtf.net
wfdnvlrcb.org
whjworuc.com
wmiwxt.biz
wohms.biz
wqqfbutswyf.info
wsdlzmpbwhj.net
xiclytmeger.cc
xkjdzqbxg.cn
xldbmaztfu.biz
xlwcv.cn
xqbovbdzjz.info
xwbubjmhinr.info
yfpdcquil.info
yfybk.ws
yhrpqjhp.biz
yoblqeruib.org
yoyze.cc
yshpve.cc
ysrixiwyd.com
ytfvksowgul.org
ywsrtetv.org
yzymygez.biz
zcwjkxynr.com
zfgufbxi.net
zkimm.info
zmoeuxuh.ws
zokxy.net
zqrsbqzhh.cc
zttykt.info
zutykstmrxq.ws
システムの日付が 2009 年 1 月 1 日またはそれ以降であるかを確認します。また、次の Web サイトについて日付を確認しますが、おそらく検証のためであると考えられます。
baidu.com
google.com
yahoo.com
msn.com
ask.com
w3.org