Michi-kusa

大切なものはいつだって形のないもの ... The important things are always the ones without form ..


テーマ:

Downadup、Conficker、Kido / MS08-067脆弱性を突きネットワーク感染するUSBウィルス
セキュリティ関連覚書 ( 最終更新日:2009/01/24 )



企業のネットワークなどで 「 Downadup (Dwonad) 、Conficker、Kido 」 と呼ばれるウィルスの感染が広まっているようです。 MS08-067の脆弱性を突いてネットワーク経由で繁殖することから08-067wormsと呼ばれたり、USBなどのリムーバルディスクを介して感染を広めることからUSBウィルスとも呼ばれているようです。

2008年11月頃から広まりはじめたこの 「 Downadup 」 ですが、年末年始を終えた先週、企業のネットワークで多くのPCやサーバーで感染が確認されたとのこと。 システムやネットワークにもダメージを与える他のマルウェアが一緒に配信される可能性もありますし、悪意あるウェブサイトへ誘導されることもあります。 ウィルスによって自動的に接続させられるWEBサーバーはアルゴリズムを使って次から次へと変更されていく可能性がありますので、たとえサイトが閉鎖されたり、システム管理者が個々のサイトへのアクセス制限を加えたとしても安心はできません。 また、(モバイルカードが挿入された)モバイルPCは、グローバルIPアドレス(外部IPアドレス)でインターネットへ接続していることもあるため、こちらにも注意が必要かもしれません。

危険度は高くないウィルスとされていますが、ウィルスに感染したPCやサーバーは攻撃者に乗っ取られてコントロールされる危険もあります。 また、多くの亜種が発生したり、分かっていない事実がこれから出てくるかも知れませんので注意が必要ですね。


感染の疑いがあったら...

STEP01 直ぐLANケーブルを抜いてネットワークからPCを切断
STEP02 現状把握とセキュリティ情報の収集
( ウィルス情報、感染経緯、感染状況、影響範囲、対処方法 )
STEP03 ウィルス対策の実行
・Windows Update
・セキュリティ対策ソフトとデータを最新版へ更新
・キャッシュクリア
・ウィルススキャン
・再起動
STEP04 今後の対応を検討


>> Windows Update ( MS08-067の更新 ) については こちら

*感染した場合、数回の駆除対応を繰り返す必要がある場合もあります。

* USBメモリなどのリムーバルディスクの利用には注意が必要
( USBメモリの ”AUTORUN”と”AUTOPLAY”を無効にするなど )

* 駆除・削除を行う場合:
 利用しているセキュリティ対策ソフトベンダーサイトやMicrosoftのサイトで「最新情報」を入手
 また、各種駆除ツールが配布されているのでそちらもチェック




感染からPCを守るためには ...
( 日頃から注意していたいこと )

・Windows Update (Microsoftの修正パッチを最新に更新)
・セキュリティ対策ソフト(製品及びデータ)を最新の状態に
・セキュリティ関連情報の入手
・リムーバルディスク(USBメモリなど)の”AUTORUN”と”AUTOPLAY”の無効化
・ユーザードメインバスワード及びドメイン管理者のパスワードの強化




以下覚書 ( 現在編集中 ) 
--------------------------------------------------------


Downadupウィルスについて


名称:
Worm:W32/Downadup.AL(F-secure)
Mal/Conficker-A (Sophos)
W32/Conficker.worm.gen.b (Symantec)
Worm:Win32/Conficker.B (Microsoft)
Win32/Conficker.A (McAfee,Computer Associates)
Net-Worm.Win32.Kido.ih (Kaspersky Lab)
( +上記の亜種 ... W32.Downadup.Bなど )

対応OS:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT,
Windows Server 2003, Windows 2000

種類:Worm
カテゴリー:Malware


概要

コンピュータまたはネットワークのリソースを使って自分自身をコピーするためのプログラムで、システムやネットワークにもダメージを与える他のマルウェアが一緒に配信される可能性もあります。 セキュリティソフトの検知から逃れるためにランダムな拡張子名を利用することがありますので、スキャンをかけるときは全てのファイルを指定することが必要です。


詳細

01:自分自身をコピーしたdllファイルとtmpファイルの作成
02:リムーバルディスクへ自動起動ファイル(autorun.inf)と関連ファイルを作成
03:実行ファイル(exeファイル)の作成
04:関連Windowsシステムの無効化
05:インターネットアクセスを制限

・繁殖方法について
・ダウンロードについて
・レジストリ情報の修正について


01:自分自身をコピーしたdllファイルとtmpファイルの作成

Downadup (Kido, Conficker) wormが活動を始めると、自分自身を下記のファイルにコピーし、
タイムスタンプを「%system%kernel32.dll」ファイルの日付で上書きします。

%System%\[ランダムな名称].dll
%Program Files%\Internet Explorer\[ランダムな名称].dll
%Program Files%\Movie Maker\[ランダムな名称].dll
%All Users Application Data%\[ランダムな名称].dll
%Temp%\[ランダムな名称].dll
%System%\[ランダムな名称].tmp
%Temp%\[ランダムな名称].tmp

02:リムーバルディスクへ自動起動ファイル(autorun.inf)と関連ファイルを作成

また、システムが起動されるタイミングでワームのコピーが実行されるようにautorun entries(自動実行情報)をレジストリにつくります。 また、USBメモリなどのリムーバルディスクやマッピングされたドライブに下記のファイルを作成します。 

[ドライブ名]\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[ランダム(3文字)]
[ドライブ名]\autorun.inf

03:実行ファイル(exeファイル)を作成
プロセスに自分自身を添付します。

svchost.exe、explorer.exe、services.exe

04:関連Windowsシステムの無効化
ワームはその活動をするため数個のWindowsシステムを無効にします。

Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Security Center Service (wscsvc)
Windows Defender Service (WinDefend)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)

Windows Vistaの場合は、TCP/IP auto-tuningを無効にするコマンドを走らせるようです
( netsh interface tcp set global autotuning=disabled )


05:インターネットアクセスに制限を与えます
ユーザーが「ある種」のドメインリストにアクセスしようとすると、API(DNS_Querry_A、DNS?_Query_UTF8、DNS_Query_W、Query_Main、sendto)を止めてアクセスをブロックしたり、セキュリティに関連した名前(会社、キーワードなど)が入ったドメイン名にアクセス出来ないようにしたりします。



繁殖方法について

ネットワークへ迅速にアクセスし広がるためレジストリの内容を修正。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = dword:0x00FFFFFE

このドライブを使うことで拡散のスピードをあげることが出来るようになり、%System%\drivers\tcpip.sys.の中にその機能が導入されます。

ワームはNetServerEnumを利用し適当なネットワークサーバをチェックします。 NetUserEnum API、事前に用意されているパスワード・リスト、またはサーバー上のユーザーアカウントでログオンを試みます。 発見したネットワークサーバーにログオンを試みます。 ネットワークサーバーへのアクセスに成功するとネットワーク共有が可能になります。 自分自身を「ADMIN$」にコピーします。

\\[ホスト名]\ADMIN$\System32\[ランダムなファイル名].[ランダムな拡張子名]

下記コマンドを実行するために、リモートサーバー上にスケジュールタスク(日次スケジュールのジョブ)を作成します。

rundll32.exe [ランダムファイル名].[ランダムな拡張子名], [ランダム]


ワームはMS08-067の脆弱性を突き、他のマシンのセキュリティホールから自分自身のコピーをダウンロードし増殖することが可能になります。 それを実行するため、まず感染している(自分の)グローバルIPアドレスを取得する目的で、攻撃者が指定する悪意あるサイトへ接続。 ランダムなポート番号を使用したHTTPサーバーをつくります。

http://[グローバルIPアドレス]/[ランダムなポート番号] 

感染したマシンから他のマシンへ故意につくったパケット(悪意あるコード)を送信するため、マルウェアのダウンロードが可能なHTTPサーバーをつくります。 (システムに侵入に成功すると)、ターゲットにされたマシンは先に感染したマシンからマルウェアのコピーを強制的にダウンロードさせられることになります。 ダウンロードされたマルウェアには、bmp、gif、jpeg、pngのどれかの拡張子がついています。 そして、脆弱性による新たなハッキングを避けるためNetpwPathCanonicalize APIに接続します。


ダウンロード について

Downadupはsystemへファイルをダウンロードします。  まずgoogleやyahooなどのサイトへアクセスしてシステムの日付を取得。 取得した日付を使ってマルウェアをダウンロードするためのドメインのリストが作成されます。 ワームは2009年1月1日以降であるかどうかの確認を行います。 この条件を満たしていると下記のウェブサイトからファイルをダウンロードして起動します。 

アクセスするサイト:http://(システム日付から割り当てられたドメイン名)/search?q=%d

ダウンロードファイル名:[ランダムなファイル名].tmp


レジストリー情報の修正について

ワームは、セキュリティセンター警告を無効にし、Windows Defender から防ぐため、幾つかのキーをレジストリーの文字列から削除します。 システム上の自分存在を隠すため、ワームはユーザが作成したシステム回復ポイントを削除し、レジストリキーを下記のように変更します。


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random%


感染している間、ワームはtemporary(TMP)ファイルをシステムまたはTempフォルダに作成する可能性があります。 作成されたTMPファイルはサービスカーネルドライバー(SERVICE KERNEL DRIVER )として記録されます。 そこには下記のようなレジストリ情報が使われます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[random]
Type = dword:00000001
Start = dword:00000003
ErrorControl = dword:00000000
ImagePath = "\...\%MalwarePath%\[random].tmp"
DisplayName = [Random]


キーが作成されると、%MalwarePath%\[ランダムなファイル名].tmpのファイルは削除され、関連したレジストリーに下記の情報が記録されます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
DisplayName = [サービス名]Type = dword:00000020
Start = dword:00000002
ErrorControl = dword:00000000
ImagePath = "%SystemRoot%\system32\svchost.exe -k netsvcs"
ObjectName = "LocalSystem"
Description = %description%

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[ランダム名]\ParametersServiceDll = %MalwarePath%

上の[サービス名]には、下記からとった2つの言葉の組み合わせが使われるようです。

Boot、Center、Config、Driver、Helper、Image、Installer、Manager、Microsoft、Monitor、Network、Security、Server、Shell、Support、System、Task、Time、Universal、Update、Windows /他


( 参考 : F-Secure Malware Information Pages: Worm:W32/Downadup.AL + α )





Downadup 関連情報

F-Secure ( News from the Lab )

How Big is Downadup? Very Big. - F-Secure Weblog : News from the Lab
When is AUTORUN.INF really an AUTORUN.INF? - F-Secure Weblog : News from the Lab
MS08-067 Worms - F-Secure Weblog : News from the Lab
MS08-067 Worm, Downadup/Conflicker - F-Secure Weblog : News from the Lab

( 追記:2009.01.24 )
警視庁のオンラインシステムに接続しているパソコンも、22日このネットワーク感染型ウィルスW32.Downadup.bに感染したとの情報もあります。


駆除ツール及び最新情報を入手できるサイト



■関連
iPhoneOS.Ikee.B / iPhoneを乗っ取るボットネット・ワームウィルス (仮)|Michi-kusa
WIRELESS GATE / iPhoneでマクドナルドのWi-Fi接続サービスを利用する方法|Michi-kusa
公衆無線LANし放題 / iPhone 3Gをマクドナルドなどでwi-fi接続するための設定方法|Michi-kusa

AD
いいね!した人  |  コメント(0)  |  リブログ(0)

reimeikeiさんの読者になろう

ブログの更新情報が受け取れて、アクセスが簡単になります

AD

ブログをはじめる

たくさんの芸能人・有名人が
書いているAmebaブログを
無料で簡単にはじめることができます。

公式トップブロガーへ応募

多くの方にご紹介したいブログを
執筆する方を「公式トップブロガー」
として認定しております。

芸能人・有名人ブログを開設

Amebaブログでは、芸能人・有名人ブログを
ご希望される著名人の方/事務所様を
随時募集しております。