Conficker.C (Downadup)

小野寺です。

Conficker (Downadup)について、Conficker.C という新しい種が出て、「今までの対策が無効に！」等と刺激的な言葉を散見しますが、以前お知らせした Conficker の対策を行っていれば、Conficker.C の感染を防ぐ事は可能です。 ただ、感染してしまった場合は、従来の Conficker 以上にバックドア機能やファイルのダウンロード機能が強化されているため、別の脅威が感染 PC に持ち込まれる可能性があります。
Conficker に関するまとめ対策等をまとめた記事は、「Conficker(Downadup)ワームに関するまとめ」をどうぞ

以下に、Conficker.C の情報の日本語抄訳を転記しておきます。

-—-

**別名:
**TA08-297A (その他)
CVE-2008-4250 (その他)
VU827267 (その他)
Conficker B++ (その他)

**概要:
**Win32/Conficker.C は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上の他のコンピューターを感染させるワームです。 脆弱性が悪用されると、共有ファイルを有効にした際にリモートでコードが実行される可能性があります。また、リムーバブル ドライブおよび脆弱な管理者パスワードを介して蔓延する場合があります。また、重要なシステム サービスやセキュリティ製品などが無効にされます。

マイクロソフトは、ユーザーがセキュリティ情報 MS08-067 のセキュリティ更新プログラムを直ちに適用することを強く推奨します。また、マイクロソフトはユーザーが脆弱な管理者パスワードを介して蔓延するこのワームから防御するため、強固なネットワーク パスワードを使用するよう推奨します。詳細情報は こちらをご覧ください。

**現象
*システム設定の変更:
**マルウェアが存在する場合、次のようにシステムが変更される可能性があります:

• 次のサービスが無効になる、または実行しなくなります:
  Windows Update Service
  Background Intelligent Transfer Service (BITS)
  Windows Defender
  Windows Error Reporting Services

• 次のレジストリが変更されたことで、ネットワーク上で大量のコネクションを作成し、ログオンを試行します。そのため、アカウント ロックアウトが発生しやすくなる場合があります。
  HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  “TcpNumConnections” = “0x00FFFFFE”

• ユーザーは次の文字列が含まれている Web サイトまたはオンライン サービスに接続できなくなる場合があります。
  virus, spyware, malware, rootkit, defender, microsoft, symantec, norton, mcafee, trendmicro, sophos, panda, etrust, networkassociates, computerassociates, f-, ecure, kaspersky, jotti, f-, rot, nod32, eset, grisoft, drweb, centralcommand, ahnlab, esafe, avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri, ikarus, k7computing, norman, pctools, prevx, rising, securecomputing, sunbelt, emsisoft, arcabit, cpsecure, spamhaus, castlecops, threatexpert, wilderssecurity, windowsupdate

技術情報:

Win32/Conficker.C は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上の他のコンピューターを感染させるワームです。脆弱性が悪用されると、共有ファイルを有効にした際にリモートでコードが実行される可能性があります。また、リムーバブル ドライブおよび脆弱な管理者パスワードを介して蔓延する場合があります。重要なシステム サービスやセキュリティ製品などが無効にされます。

インストール:

Win32/Conficker.C は Windows のシステム フォルダーに <random>.dll の名を使用し、それ自身を隠し DLL ファイルとしてコピーします。それが失敗した場合、次のフォルダーに同じパラメーターを使用してそれ自身をコピーしようとします。

%ProgramFiles%\Internet Explorer
%ProgramFiles%\Movie Maker

次のレジストリ エントリを作成し、Windows が起動する際にドロップされたコピーを常に実行させます。

追加の値: “<random string>”
データ: “rundll32.exe <system folder>\<malware file name>.dll,<malware parameters>”
サブキー: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

また、システム ファイル svchost.exe で netsvcs グループをダウンロードした場合に、それ自身を起動のサービスとしてダウンロードするようにします。 さらに、それ自身を次のキーで登録して、偽のサービスとしてロードさせる可能性があります:

HKLM\SYSTEM\CurrentControlSet\Services

次の文字列から 2 種類を組み合わせた表示名を使用する場合があります:

Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows

さらに、ランダムな文字を組み合わせて、表示名を作成する場合があります。

蔓延方法

**脆弱なパスワードを用いて共有ネットワークで蔓延する
**Win32/Conficker.C はネットワークでマシンを感染させようとします。

まず、現在ログオン中のユーザー権限で、標的のマシンの ADMIN$ 共有へそれ自身のコピーをドロップしようとします。
この方法が失敗した場合 (例: 現在のユーザーに必要な権限がない)、標的のマシンでユーザー アカウントの一覧を入手します。その後、各ユーザー名および下記の脆弱なパスワードを用いて標的のマシンへ接続しようとします。

123, 1234, 12345, 123456, 1234567, 12345678, 123456789, 1234567890, 123123, 12321, 123321, 123abc, 123qwe, 123asd, 1234abcd, 1234qwer, 1q2w3e, a1b2c3, admin, Admin, administrator, nimda, qwewq, qweewq, qwerty, qweasd, asdsa, asddsa, asdzxc, asdfgh, qweasdzxc, q1w2e3, qazwsx, qazwsxedc, zxcxz, zxccxz, zxcvb, zxcvbn, passwd, password, Password, login, Login, pass, mypass, mypassword, adminadmin, root, rootroot, test, testtest, temp, temptemp, foofoo, foobar, default, password1, password12, password123, admin1, admin12, admin123, pass1, pass12, pass123, root123, pw123, abc123, qwe123, test123, temp123, mypc123, home123, work123, boss123, love123, sample, example, internet, Internet, nopass, nopassword, nothing, ihavenopass, temporary, manager, business, oracle, lotus, database, backup, owner, computer, server, secret, super, share, superuser, supervisor, office, shadow, system, public, secure, security, desktop, changeme, codename, codeword, nobody, cluster, customer, exchange, explorer, campus, money, access, domain, letmein, letitbe, anything, unknown, monitor, windows, files, academia, account, student, freedom, forever, cookie, coffee, market, private, games, killer, controller, intranet, work, home, job, foo, web, file, sql, aaa, aaaa, aaaaa, qqq, qqqq, qqqqq, xxx, xxxx, xxxxx, zzz, zzzz, zzzzz, fuck, 12, 21, 321, 4321, 54321, 654321, 7654321, 87654321, 987654321, 0987654321, 0, 00, 000, 0000, 00000, 00000, 0000000, 00000000, 1, 11, 111, 1111, 11111, 111111, 1111111, 11111111, 2, 22, 222, 2222, 22222, 222222, 2222222, 22222222, 3, 33, 333, 3333, 33333, 333333, 3333333, 33333333, 4, 44, 444, 4444, 44444, 444444, 4444444, 44444444, 5, 55, 555, 5555, 55555, 555555, 5555555, 55555555, 6, 66, 666, 6666, 66666, 666666, 6666666, 66666666, 7, 77, 777, 7777, 77777, 777777, 7777777, 77777777, 8, 88, 888, 8888, 88888, 888888, 8888888, 88888888, 9, 99, 999, 9999, 99999, 999999, 9999999, 99999999

Win32/Conficker.C の標的のマシンへのアクセスが成功した場合 (例: 入手したユーザー名と上記のパスワードのひとつを組み合わせて、マシンで特権を獲得した場合)、ADMIN$\System32\<random letters>.dll として、それ自身をアクセス可能な admin 共有へコピーします。

**スケジュールされたリモート ジョブを作成する
**リモートでマシンを侵害すると、Win32/Conficker.C は “rundll32.exe <malware file name>.dll,<malware parameters>" コマンドを使用して、次の画像のように、スケジュールされたリモート ジョブを作成します。

マップされたドライブおよびリムーバブル ドライブ Win32/Conficker.C はすべてのマップされたドライブおよびリムーバブル ドライブに、ランダムなファイル名でそれ自身のコピーをドロップする可能性があります。このワームはこれらのドライブのルートに、フォルダー名 ‘RECYCLER’ (Windows XP およびそれ以前のバージョン。 “RECYCLER” フォルダーは “ごみ箱” を示します) を作成します。
そして、次のようにワーム自身をコピーします:

<drive:>\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\<random letters>.dll

%d はランダムに選択された文字です。ワームは関連の autorun.inf ファイルもドロップし、ドライブにアクセス、自動再生が有効にされた場合にワームのコピーを実行するように仕掛けます。この autorun.inf ファイルは Worm:Win32/Conficker.B!inf として検出されます。
下の画像は、ユーザーが感染した共有ファイルにアクセスした場合に、どのようにワームが起動されるかを示しています:

最初のオプションでは、［フォルダーを開いてファイルを表示］ (open folder to view files) が表示されますが、このオプションは ［プログラムのインストールまたは実行］ (Install or run program) の下にあるため、フォルダーを開くと実際にアプリケーションが実行されることに注意してください。
また、ワームを実行する動作は [発行先は指定されていません] (Publisher not specified) であることを留意してください。上の画像の [全般オプション] (General options) の下のハイライトされている部分を選択した場合、ユーザーは共有ファイルを表示できますが、ワームのコピーを実行できません。

**MS08-067 HTTP の「コール バック」
**Win32/Conficker.C は Windows Server サービス (SVCHOST.EXE) の脆弱性に対する更新プログラムを適用していないシステムで蔓延します。
脆弱性が悪用された場合、このワームは標的のコンピューターに、HTTP プロトコルで (ワームによって開かれた 1024 から 10000 の間の) ランダム ポートを使用して、ワームのコピーをダウンロードさせようとします。この脆弱性については、マイクロソフト セキュリティ情報 MS08-067 で説明しています。

ワームの影響

**メモリで NETAPI32.DLL を修正する
**Win32/Conficker はメモリで ‘NETAPI32.DLL’ を修正し、セキュリティ情報 MS08-067 で解決した脆弱性への再感染およびそれ以上の悪用を防ぎます。

**実行可能な URL のリンク先をダウンロードする
**この亜種は、受信した shellcode (シェルコード) の特定のパターンを確認して、その起源が Win32/Conficker かどうか、shellcode に保存されている更新されたペイロードの URL を特定します。Win32/Conficker.C は Windows 2000 のマシンに \\.\pipe\System_<computer name>7 の名前付きパイプを作成します。

このワームはスレッドを作成し、パイプからダウンロード、認証および実行まで http URL のリンク先を継続的に許可します。

**システム構成の改ざん
**Win32/Conficker.C はシステム構成を変更するため、ユーザーは隠しファイルを表示できません。これは次のレジストリ エントリが変更されることで起こります。

追加値: “CheckedValue”
データ: “0”
サブキー:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

また、多数の同時接続を許可するシステムの TCP 構成を変更します。 0x00FFFFFE は 16 進 (16,777,214 10 進値/デシマル値) です。

追加値: “TcpNumConnections”
データ: “0x00FFFFFE”
サブキー: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

このワームは一時ファイルをドロップし、変更を有効にするために TCP/IP サービスを再起動させようとします。ドロップされたこのファイルは Trojan:WinNT/Conficker.B として検出されます。

**TCP/IP の起動を無効にし、サービスを終了および無効にする
**Win32/Conficker.C は次のコマンドを実行して Vista の TCP/IP の自動チューニングを無効にします。

netsh interface tcp set global autotuning=disabled

このワームは、以下のような重要なシステム サービスのいくつかを終了させます:

• Windows Security Center のサービス (wscsvc) – ユーザーに、セキュリティの構成を通知します (例: Windows update、ファイアウォールおよびウイルス対策)
• Windows Update Auto Update サービス (wuauserv)
• Background Intelligence Transfer Service (BITS) – Windows Update で使用され、アイドル状態のネットワークの帯域幅を使用して更新プログラムをダウンロードします。
• Windows Defender (WinDefend)
• Error Reporting Service (ersvc) – マイクロソフトにエラー レポートを送信し、ユーザー エクスペリエンスの改善に役立ちます。
• Windows Error Reporting Service (wersvc)

Win32/Conficker.C は、Windows Defender のレジストリ キーを削除し、システムの起動の際に実行しないようにします。

削除される値: “Windows Defender”
サブキー: HKLM\Software\Microsoft\Windows\CurrentVersion\Run

また、次の文字列が含まれているモジュール名を持つすべてのプロセスが、ネットワーク トラフィックまたはデータ送信が無効になります (注: これらのほとんどの文字列がウイルス対策およびセキュリティ ソフトウェアに関連しているため、製品が署名の更新を入手できなくなり、これらの文字列が含まれている URL の Web サイトにユーザーがアクセスできなくなる可能性があります)。

virus, , pyware, malware, rootkit, defender, microsoft, symantec, norton, mcafee, trendmicro, sophos, panda, etrust, networkassociates, computerassociates, f-, ecure, kaspersky, jotti, f-, rot, nod32, eset, grisoft, drweb, centralcommand, ahnlab, esafe, avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri, ikarus, k7computing, norman, pctools, prevx, rising, securecomputing, sunbelt, emsisoft, arcabit, cpsecure, spamhaus, castlecops, threatexpert, wilderssecurity, windowsupdate

システムの復元ポイントをリセットする Win32/Conficker.C はコンピューター システムの復元ポイントをリセットし、システムの復元を利用してリカバリができなくなる可能性があります。

**インターネット接続を確認する
**Win32/Conficker.C は、次の Web サイトに接続を試行し、システムのインターネット接続の状態を確認します。

aol.com ; cnn.com ; ebay.com ; msn.com ; myspace.com

**任意のファイルをダウンロードする
**システムの日付により、Win32/Conficker.C は 2009 年 1 月 1 日からのファイルをダウンロードするため、下の形式で URL を作成する可能性があります。

http://<pseudo-random generated URL>/search?q=%d

生成された URL はシステムの現在の日付に基づいています。
作成された URL は以下の最上位のドメインのひとつを使用します。

cc, .cn, .ws, .com, .net, .org, .info, .biz

作成された URL の例は次の通りです:

aaovt.com, aasmlhzbpqe.com, addgv.com, ajsxarj.org, apwzjq.ws, aradfkyqv.org, arztiwbeh.cc, baixumxhmks.ws, bfwtjrto.org, bfwvzxd.info, bma, qlhulq.cc, byiiureq.cn, cbizghsq.cc, cbkenfa.org, ciabjhmosz.cc, cruutiitz.com, ctnlczp.org, ctohyudfbm.cn, dcopyoojw.com, djdgnrbacwt.ws, dmwemynbrmz.org, dofmrfqvis.cn, doxkknuq.org, dozjritemv.info, dyjsialozl.ws, eaieijqcqlv.org, eewxsvtkyn.net, eidqdorgmbr.net, eiqzepxacyb, cn, ejdmzbzzaos.biz, ejmxd.com, ejzrcqqw.net, ekusgwp.cc, eprhdsudnnh.biz, evmwgi.ws, falru.net, fctkztzhyr.org, fdkjan.net, fhfntt.org, f, spuip.biz, fjpzgrf.net, fkzdr.cn, ftjggny.com, fuimrawg.info, ghdokt.cn, glbmkbmdax.biz, gmhkdp.org, gocpopuklm.org, grwemw.biz, gtzaick.c, , gxzlgsoa.info, gypqfjho.info, hduyjkrouop.info, hfgxlzjbfka.biz, hkgzoi.com, hliteqmjyb.net, hmdtv.ws, hoyolhmnzbs.net, hprfux.cc, hqbtt, qr.org, hueminaii.org, hvogkfiq.info, ifylodtv.ws, iivsjpfumd.ws, ilksbuv.cn, imuez.biz, izxvu.biz, jaumgubte.biz, jhbeiiizlfk.cn, jrdzx.c, , jshkqnnkeao.biz, judhei.com, jxfiysai.cc, jzoowlbehqn.info, karhhse.com, kbyjkjkbb.info, kjsxokxg.org, krudjhvk.org, kuiwtbfa.org, lauow, ef.cn, lhirjymcod.net, liugwg.net, lksvlouw.ws, llgkuclk.info, lnpsesbcm.cn, lssvxqkqfmf.org, lygskbx.cc, mafwkeat.cn, mgqrrsxhnj.com, mhk, psbuh.cc, mknuzwq.cc, mqjkzbov.net, myfhc.com, navjrj.org, nbpykcdsoms.com, ncbeaucjxd.org, npfxmztnaw.cn, nuiptipwjj.cc, nvpmfnlsh.ws, oa, wongs.ws, odvsz.net, okkpuzqck.ws, oqolfrjq.cn, orduhippw.cn, orpngykld.com, orxfq.ws, othobnrx.org, otnqqaclsgx.info, otukeesevg.biz, pbf, hhvzkp.cc, pbpigz.cn, pcnpxbg.cc, pdfrbmxh.biz, pfdthjxs.cc, phaems.cc, phetxwmjqsj.cc, pmanbkyshj.ws, pnjlx.cc, ppzwqcdc.cc, psabcdq.cc, , tdlwsi.cn, pvowgkgjmu.biz, pwsjbdkdewv.info, qbuic.com, qdteltj.org, qeotxrp.com, qfeqsagbjs.biz, qfhqgciz.org, qfogch.com, qijztpxaxk.cn, qlqrgqordj.ws, qpiivu.cn, qpuowsw.cc, qqbbg.cc, qrrzna.net, qvrgznvvwz.ws, qwdervbq.org, qwnydyb.cc, qzbpqbhzmp.com, rkfdx.org, rpphv.org, , skvraofl.info, ryruatsot.biz, sdkhznqj.info, sezpo.org, sfozmwybm.com, skwmyjq.org, solmpem.com, sqmsrvnjits.cc, stlgegbye.net, syryb.org, tdwrkv.ws, tfpazwas.cc, tigeseo.org, tjyhrcfxuc.cn, tkbyxr.ws, tlmncy.cn, tmlwmvv.ws, tnerivsvs.net, tomxoa.org, trpkeyqapp.net, tyjtkayz.c, m, uazlwwiv.org, ucgqvyjgpk.cn, uixvflbyoyi.biz, ujawdcoqgs.org, upxva.net, uuvjh.biz, uzugvbnvs.cn, vgmkhtux.ws, vjllpcucnp.cn, vkgxgxto., om, vwiualt.com, waxggypgu.org, wccckyfrtf.net, wfdnvlrcb.org, whjworuc.com, wmiwxt.biz, wohms.biz, wqqfbutswyf.info, wsdlzmpbwhj.net, xic, ytmeger.cc, xkjdzqbxg.cn, xldbmaztfu.biz, xlwcv.cn, xqbovbdzjz.info, xwbubjmhinr.info, yfpdcquil.info, yfybk.ws, yhrpqjhp.biz, yoblqeruib., rg, yoyze.cc, yshpve.cc, ysrixiwyd.com, ytfvksowgul.org, ywsrtetv.org, yzymygez.biz, zcwjkxynr.com, zfgufbxi.net, zkimm.info, zmoeuxuh.ws, zokxy.net, zqrsbqzhh.cc, zttykt.info, zutykstmrxq.ws

システムの日付が 2009 年 1 月 1 日またはそれ以降であるかどうかを確認します。また、次の Web サイトの日付を確認して、おそらく検証を行います:

baidu.com, google.com, yahoo.com, msn.com, ask.com, w3.org