日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
小野寺です。
Conficker (Downadup)について、Conficker.C という新しい種が出て、「今までの対策が無効に!」等と刺激的な言葉を散見しますが、以前お知らせしたConfickerの対策を行っていれば、Conficker.Cの感染を防ぐ事は可能です。 ただ、感染してしまった場合は、従来のConficker以上にバックドア機能やファイルのダウンロード機能が強化されているため、別の脅威が感染PCに持ち込まれる可能性があります。Confickerに関するまとめ対策等をまとめた記事は、「Conficker(Downadup)ワームに関するまとめ」をどうぞ
以下に、Conficker.C の情報の日本語抄訳を転記しておきます。
-----
別名:TA08-297A (その他) CVE-2008-4250 (その他) VU827267 (その他) Conficker B++ (その他)
概要:Win32/Conficker.C は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上の他のコンピューターを感染させるワームです。 脆弱性が悪用されると、共有ファイルを有効にした際にリモートでコードが実行される可能性があります。また、リムーバブル ドライブおよび脆弱な管理者パスワードを介して蔓延する場合があります。また、重要なシステム サービスやセキュリティ製品などが無効にされます。
マイクロソフトは、ユーザーがセキュリティ情報 MS08-067 のセキュリティ更新プログラムを直ちに適用することを強く推奨します。また、マイクロソフトはユーザーが脆弱な管理者パスワードを介して蔓延するこのワームから防御するため、強固なネットワーク パスワードを使用するよう推奨します。詳細情報は こちら をご覧ください。
現象システム設定の変更:マルウェアが存在する場合、次のようにシステムが変更される可能性があります:
技術情報:
Win32/Conficker.C は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上の他のコンピューターを感染させるワームです。脆弱性が悪用されると、共有ファイルを有効にした際にリモートでコードが実行される可能性があります。また、リムーバブル ドライブおよび脆弱な管理者パスワードを介して蔓延する場合があります。重要なシステム サービスやセキュリティ製品などが無効にされます。
インストール:
Win32/Conficker.C は Windows のシステム フォルダーに <random>.dll の名を使用し、それ自身を隠し DLL ファイルとしてコピーします。それが失敗した場合、次のフォルダーに同じパラメーターを使用してそれ自身をコピーしようとします。
%ProgramFiles%\Internet Explorer%ProgramFiles%\Movie Maker
次のレジストリ エントリを作成し、Windows が起動する際にドロップされたコピーを常に実行させます。
追加の値: "<random string>"データ: "rundll32.exe <system folder>\<malware file name>.dll,<malware parameters>"サブキー: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
また、システム ファイル svchost.exe で netsvcs グループをダウンロードした場合に、それ自身を起動のサービスとしてダウンロードするようにします。 さらに、それ自身を次のキーで登録して、偽のサービスとしてロードさせる可能性があります:
HKLM\SYSTEM\CurrentControlSet\Services
次の文字列から 2 種類を組み合わせた表示名を使用する場合があります:
Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows
蔓延方法
脆弱なパスワードを用いて共有ネットワークで蔓延するWin32/Conficker.C はネットワークでマシンを感染させようとします。
まず、現在ログオン中のユーザー権限で、標的のマシンの ADMIN$ 共有へそれ自身のコピーをドロップしようとします。この方法が失敗した場合 (例: 現在のユーザーに必要な権限がない)、標的のマシンでユーザー アカウントの一覧を入手します。その後、各ユーザー名および下記の脆弱なパスワードを用いて標的のマシンへ接続しようとします。 123, 1234, 12345, 123456, 1234567, 12345678, 123456789, 1234567890, 123123, 12321, 123321, 123abc, 123qwe, 123asd, 1234abcd, 1234qwer, 1q2w3e, a1b2c3, admin, Admin, administrator, nimda, qwewq, qweewq, qwerty, qweasd, asdsa, asddsa, asdzxc, asdfgh, qweasdzxc, q1w2e3, qazwsx, qazwsxedc, zxcxz, zxccxz, zxcvb, zxcvbn, passwd, password, Password, login, Login, pass, mypass, mypassword, adminadmin, root, rootroot, test, testtest, temp, temptemp, foofoo, foobar, default, password1, password12, password123, admin1, admin12, admin123, pass1, pass12, pass123, root123, pw123, abc123, qwe123, test123, temp123, mypc123, home123, work123, boss123, love123, sample, example, internet, Internet, nopass, nopassword, nothing, ihavenopass, temporary, manager, business, oracle, lotus, database, backup, owner, computer, server, secret, super, share, superuser, supervisor, office, shadow, system, public, secure, security, desktop, changeme, codename, codeword, nobody, cluster, customer, exchange, explorer, campus, money, access, domain, letmein, letitbe, anything, unknown, monitor, windows, files, academia, account, student, freedom, forever, cookie, coffee, market, private, games, killer, controller, intranet, work, home, job, foo, web, file, sql, aaa, aaaa, aaaaa, qqq, qqqq, qqqqq, xxx, xxxx, xxxxx, zzz, zzzz, zzzzz, fuck, 12, 21, 321, 4321, 54321, 654321, 7654321, 87654321, 987654321, 0987654321, 0, 00, 000, 0000, 00000, 00000, 0000000, 00000000, 1, 11, 111, 1111, 11111, 111111, 1111111, 11111111, 2, 22, 222, 2222, 22222, 222222, 2222222, 22222222, 3, 33, 333, 3333, 33333, 333333, 3333333, 33333333, 4, 44, 444, 4444, 44444, 444444, 4444444, 44444444, 5, 55, 555, 5555, 55555, 555555, 5555555, 55555555, 6, 66, 666, 6666, 66666, 666666, 6666666, 66666666, 7, 77, 777, 7777, 77777, 777777, 7777777, 77777777, 8, 88, 888, 8888, 88888, 888888, 8888888, 88888888, 9, 99, 999, 9999, 99999, 999999, 9999999, 99999999 Win32/Conficker.C の標的のマシンへのアクセスが成功した場合 (例: 入手したユーザー名と上記のパスワードのひとつを組み合わせて、マシンで特権を獲得した場合)、ADMIN$\System32\<random letters>.dll として、それ自身をアクセス可能な admin 共有へコピーします。 スケジュールされたリモート ジョブを作成するリモートでマシンを侵害すると、Win32/Conficker.C は “rundll32.exe <malware file name>.dll,<malware parameters>" コマンドを使用して、次の画像のように、スケジュールされたリモート ジョブを作成します。 マップされたドライブおよびリムーバブル ドライブWin32/Conficker.C はすべてのマップされたドライブおよびリムーバブル ドライブに、ランダムなファイル名でそれ自身のコピーをドロップする可能性があります。このワームはこれらのドライブのルートに、フォルダー名 'RECYCLER' (Windows XP およびそれ以前のバージョン。 "RECYCLER" フォルダーは "ごみ箱" を示します) を作成します。そして、次のようにワーム自身をコピーします: <drive:>\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\<random letters>.dll %d はランダムに選択された文字です。ワームは関連の autorun.inf ファイルもドロップし、ドライブにアクセス、自動再生が有効にされた場合にワームのコピーを実行するように仕掛けます。この autorun.inf ファイルは Worm:Win32/Conficker.B!inf として検出されます。下の画像は、ユーザーが感染した共有ファイルにアクセスした場合に、どのようにワームが起動されるかを示しています: 最初のオプションでは、[フォルダーを開いてファイルを表示] (open folder to view files) が表示されますが、このオプションは [プログラムのインストールまたは実行] (Install or run program) の下にあるため、フォルダーを開くと実際にアプリケーションが実行されることに注意してください。また、ワームを実行する動作は [発行先は指定されていません] (Publisher not specified) であることを留意してください。上の画像の [全般オプション] (General options) の下のハイライトされている部分を選択した場合、ユーザーは共有ファイルを表示できますが、ワームのコピーを実行できません。 MS08-067 HTTP の「コール バック」Win32/Conficker.C は Windows Server サービス (SVCHOST.EXE) の脆弱性に対する更新プログラムを適用していないシステムで蔓延します。脆弱性が悪用された場合、このワームは標的のコンピューターに、HTTP プロトコルで (ワームによって開かれた 1024 から 10000 の間の) ランダム ポートを使用して、ワームのコピーをダウンロードさせようとします。この脆弱性については、マイクロソフト セキュリティ情報 MS08-067 で説明しています。
まず、現在ログオン中のユーザー権限で、標的のマシンの ADMIN$ 共有へそれ自身のコピーをドロップしようとします。この方法が失敗した場合 (例: 現在のユーザーに必要な権限がない)、標的のマシンでユーザー アカウントの一覧を入手します。その後、各ユーザー名および下記の脆弱なパスワードを用いて標的のマシンへ接続しようとします。
123, 1234, 12345, 123456, 1234567, 12345678, 123456789, 1234567890, 123123, 12321, 123321, 123abc, 123qwe, 123asd, 1234abcd, 1234qwer, 1q2w3e, a1b2c3, admin, Admin, administrator, nimda, qwewq, qweewq, qwerty, qweasd, asdsa, asddsa, asdzxc, asdfgh, qweasdzxc, q1w2e3, qazwsx, qazwsxedc, zxcxz, zxccxz, zxcvb, zxcvbn, passwd, password, Password, login, Login, pass, mypass, mypassword, adminadmin, root, rootroot, test, testtest, temp, temptemp, foofoo, foobar, default, password1, password12, password123, admin1, admin12, admin123, pass1, pass12, pass123, root123, pw123, abc123, qwe123, test123, temp123, mypc123, home123, work123, boss123, love123, sample, example, internet, Internet, nopass, nopassword, nothing, ihavenopass, temporary, manager, business, oracle, lotus, database, backup, owner, computer, server, secret, super, share, superuser, supervisor, office, shadow, system, public, secure, security, desktop, changeme, codename, codeword, nobody, cluster, customer, exchange, explorer, campus, money, access, domain, letmein, letitbe, anything, unknown, monitor, windows, files, academia, account, student, freedom, forever, cookie, coffee, market, private, games, killer, controller, intranet, work, home, job, foo, web, file, sql, aaa, aaaa, aaaaa, qqq, qqqq, qqqqq, xxx, xxxx, xxxxx, zzz, zzzz, zzzzz, fuck, 12, 21, 321, 4321, 54321, 654321, 7654321, 87654321, 987654321, 0987654321, 0, 00, 000, 0000, 00000, 00000, 0000000, 00000000, 1, 11, 111, 1111, 11111, 111111, 1111111, 11111111, 2, 22, 222, 2222, 22222, 222222, 2222222, 22222222, 3, 33, 333, 3333, 33333, 333333, 3333333, 33333333, 4, 44, 444, 4444, 44444, 444444, 4444444, 44444444, 5, 55, 555, 5555, 55555, 555555, 5555555, 55555555, 6, 66, 666, 6666, 66666, 666666, 6666666, 66666666, 7, 77, 777, 7777, 77777, 777777, 7777777, 77777777, 8, 88, 888, 8888, 88888, 888888, 8888888, 88888888, 9, 99, 999, 9999, 99999, 999999, 9999999, 99999999
Win32/Conficker.C の標的のマシンへのアクセスが成功した場合 (例: 入手したユーザー名と上記のパスワードのひとつを組み合わせて、マシンで特権を獲得した場合)、ADMIN$\System32\<random letters>.dll として、それ自身をアクセス可能な admin 共有へコピーします。
スケジュールされたリモート ジョブを作成するリモートでマシンを侵害すると、Win32/Conficker.C は “rundll32.exe <malware file name>.dll,<malware parameters>" コマンドを使用して、次の画像のように、スケジュールされたリモート ジョブを作成します。
マップされたドライブおよびリムーバブル ドライブWin32/Conficker.C はすべてのマップされたドライブおよびリムーバブル ドライブに、ランダムなファイル名でそれ自身のコピーをドロップする可能性があります。このワームはこれらのドライブのルートに、フォルダー名 'RECYCLER' (Windows XP およびそれ以前のバージョン。 "RECYCLER" フォルダーは "ごみ箱" を示します) を作成します。そして、次のようにワーム自身をコピーします:
<drive:>\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\<random letters>.dll
%d はランダムに選択された文字です。ワームは関連の autorun.inf ファイルもドロップし、ドライブにアクセス、自動再生が有効にされた場合にワームのコピーを実行するように仕掛けます。この autorun.inf ファイルは Worm:Win32/Conficker.B!inf として検出されます。下の画像は、ユーザーが感染した共有ファイルにアクセスした場合に、どのようにワームが起動されるかを示しています:
最初のオプションでは、[フォルダーを開いてファイルを表示] (open folder to view files) が表示されますが、このオプションは [プログラムのインストールまたは実行] (Install or run program) の下にあるため、フォルダーを開くと実際にアプリケーションが実行されることに注意してください。また、ワームを実行する動作は [発行先は指定されていません] (Publisher not specified) であることを留意してください。上の画像の [全般オプション] (General options) の下のハイライトされている部分を選択した場合、ユーザーは共有ファイルを表示できますが、ワームのコピーを実行できません。
MS08-067 HTTP の「コール バック」Win32/Conficker.C は Windows Server サービス (SVCHOST.EXE) の脆弱性に対する更新プログラムを適用していないシステムで蔓延します。脆弱性が悪用された場合、このワームは標的のコンピューターに、HTTP プロトコルで (ワームによって開かれた 1024 から 10000 の間の) ランダム ポートを使用して、ワームのコピーをダウンロードさせようとします。この脆弱性については、マイクロソフト セキュリティ情報 MS08-067 で説明しています。
ワームの影響
メモリで NETAPI32.DLL を修正するWin32/Conficker はメモリで 'NETAPI32.DLL' を修正し、セキュリティ情報 MS08-067 で解決した脆弱性への再感染およびそれ以上の悪用を防ぎます。 実行可能な URL のリンク先をダウンロードするこの亜種は、受信した shellcode (シェルコード) の特定のパターンを確認して、その起源が Win32/Conficker かどうか、shellcode に保存されている更新されたペイロードの URL を特定します。Win32/Conficker.C は Windows 2000 のマシンに \\.\pipe\System_<computer name>7 の名前付きパイプを作成します。
メモリで NETAPI32.DLL を修正するWin32/Conficker はメモリで 'NETAPI32.DLL' を修正し、セキュリティ情報 MS08-067 で解決した脆弱性への再感染およびそれ以上の悪用を防ぎます。
実行可能な URL のリンク先をダウンロードするこの亜種は、受信した shellcode (シェルコード) の特定のパターンを確認して、その起源が Win32/Conficker かどうか、shellcode に保存されている更新されたペイロードの URL を特定します。Win32/Conficker.C は Windows 2000 のマシンに \\.\pipe\System_<computer name>7 の名前付きパイプを作成します。
このワームはスレッドを作成し、パイプからダウンロード、認証および実行まで http URL のリンク先を継続的に許可します。 システム構成の改ざんWin32/Conficker.C はシステム構成を変更するため、ユーザーは隠しファイルを表示できません。これは次のレジストリ エントリが変更されることで起こります。 追加値: "CheckedValue"データ: "0"サブキー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL また、多数の同時接続を許可するシステムの TCP 構成を変更します。 0x00FFFFFE は 16 進 (16,777,214 10 進値/デシマル値) です。 追加値: "TcpNumConnections"データ: "0x00FFFFFE"サブキー: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters このワームは一時ファイルをドロップし、変更を有効にするために TCP/IP サービスを再起動させようとします。ドロップされたこのファイルは Trojan:WinNT/Conficker.B として検出されます。 TCP/IP の起動を無効にし、サービスを終了および無効にするWin32/Conficker.C は次のコマンドを実行して Vista の TCP/IP の自動チューニングを無効にします。 netsh interface tcp set global autotuning=disabled このワームは、以下のような重要なシステム サービスのいくつかを終了させます: Windows Security Center のサービス (wscsvc) – ユーザーに、セキュリティの構成を通知します (例: Windows update、ファイアウォールおよびウイルス対策) Windows Update Auto Update サービス (wuauserv) Background Intelligence Transfer Service (BITS) – Windows Update で使用され、アイドル状態のネットワークの帯域幅を使用して更新プログラムをダウンロードします。 Windows Defender (WinDefend) Error Reporting Service (ersvc) – マイクロソフトにエラー レポートを送信し、ユーザー エクスペリエンスの改善に役立ちます。 Windows Error Reporting Service (wersvc) Win32/Conficker.C は、Windows Defender のレジストリ キーを削除し、システムの起動の際に実行しないようにします。 削除される値: "Windows Defender"サブキー: HKLM\Software\Microsoft\Windows\CurrentVersion\Run また、次の文字列が含まれているモジュール名を持つすべてのプロセスが、ネットワーク トラフィックまたはデータ送信が無効になります (注: これらのほとんどの文字列がウイルス対策およびセキュリティ ソフトウェアに関連しているため、製品が署名の更新を入手できなくなり、これらの文字列が含まれている URL の Web サイトにユーザーがアクセスできなくなる可能性があります)。 virus, , pyware, malware, rootkit, defender, microsoft, symantec, norton, mcafee, trendmicro, sophos, panda, etrust, networkassociates, computerassociates, f-, ecure, kaspersky, jotti, f-, rot, nod32, eset, grisoft, drweb, centralcommand, ahnlab, esafe, avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri, ikarus, k7computing, norman, pctools, prevx, rising, securecomputing, sunbelt, emsisoft, arcabit, cpsecure, spamhaus, castlecops, threatexpert, wilderssecurity, windowsupdate システムの復元ポイントをリセットするWin32/Conficker.C はコンピューター システムの復元ポイントをリセットし、システムの復元を利用してリカバリができなくなる可能性があります。 インターネット接続を確認するWin32/Conficker.C は、次の Web サイトに接続を試行し、システムのインターネット接続の状態を確認します。 aol.com ; cnn.com ; ebay.com ; msn.com ; myspace.com 任意のファイルをダウンロードするシステムの日付により、Win32/Conficker.C は 2009 年 1 月 1 日からのファイルをダウンロードするため、下の形式で URL を作成する可能性があります。 http://<pseudo-random generated URL>/search?q=%d 生成された URL はシステムの現在の日付に基づいています。作成された URL は以下の最上位のドメインのひとつを使用します。 cc, .cn, .ws, .com, .net, .org, .info, .biz 作成された URL の例は次の通りです: aaovt.com, aasmlhzbpqe.com, addgv.com, ajsxarj.org, apwzjq.ws, aradfkyqv.org, arztiwbeh.cc, baixumxhmks.ws, bfwtjrto.org, bfwvzxd.info, bma, qlhulq.cc, byiiureq.cn, cbizghsq.cc, cbkenfa.org, ciabjhmosz.cc, cruutiitz.com, ctnlczp.org, ctohyudfbm.cn, dcopyoojw.com, djdgnrbacwt.ws, dmwemynbrmz.org, dofmrfqvis.cn, doxkknuq.org, dozjritemv.info, dyjsialozl.ws, eaieijqcqlv.org, eewxsvtkyn.net, eidqdorgmbr.net, eiqzepxacyb, cn, ejdmzbzzaos.biz, ejmxd.com, ejzrcqqw.net, ekusgwp.cc, eprhdsudnnh.biz, evmwgi.ws, falru.net, fctkztzhyr.org, fdkjan.net, fhfntt.org, f, spuip.biz, fjpzgrf.net, fkzdr.cn, ftjggny.com, fuimrawg.info, ghdokt.cn, glbmkbmdax.biz, gmhkdp.org, gocpopuklm.org, grwemw.biz, gtzaick.c, , gxzlgsoa.info, gypqfjho.info, hduyjkrouop.info, hfgxlzjbfka.biz, hkgzoi.com, hliteqmjyb.net, hmdtv.ws, hoyolhmnzbs.net, hprfux.cc, hqbtt, qr.org, hueminaii.org, hvogkfiq.info, ifylodtv.ws, iivsjpfumd.ws, ilksbuv.cn, imuez.biz, izxvu.biz, jaumgubte.biz, jhbeiiizlfk.cn, jrdzx.c, , jshkqnnkeao.biz, judhei.com, jxfiysai.cc, jzoowlbehqn.info, karhhse.com, kbyjkjkbb.info, kjsxokxg.org, krudjhvk.org, kuiwtbfa.org, lauow, ef.cn, lhirjymcod.net, liugwg.net, lksvlouw.ws, llgkuclk.info, lnpsesbcm.cn, lssvxqkqfmf.org, lygskbx.cc, mafwkeat.cn, mgqrrsxhnj.com, mhk, psbuh.cc, mknuzwq.cc, mqjkzbov.net, myfhc.com, navjrj.org, nbpykcdsoms.com, ncbeaucjxd.org, npfxmztnaw.cn, nuiptipwjj.cc, nvpmfnlsh.ws, oa, wongs.ws, odvsz.net, okkpuzqck.ws, oqolfrjq.cn, orduhippw.cn, orpngykld.com, orxfq.ws, othobnrx.org, otnqqaclsgx.info, otukeesevg.biz, pbf, hhvzkp.cc, pbpigz.cn, pcnpxbg.cc, pdfrbmxh.biz, pfdthjxs.cc, phaems.cc, phetxwmjqsj.cc, pmanbkyshj.ws, pnjlx.cc, ppzwqcdc.cc, psabcdq.cc, , tdlwsi.cn, pvowgkgjmu.biz, pwsjbdkdewv.info, qbuic.com, qdteltj.org, qeotxrp.com, qfeqsagbjs.biz, qfhqgciz.org, qfogch.com, qijztpxaxk.cn, qlqrgqordj.ws, qpiivu.cn, qpuowsw.cc, qqbbg.cc, qrrzna.net, qvrgznvvwz.ws, qwdervbq.org, qwnydyb.cc, qzbpqbhzmp.com, rkfdx.org, rpphv.org, , skvraofl.info, ryruatsot.biz, sdkhznqj.info, sezpo.org, sfozmwybm.com, skwmyjq.org, solmpem.com, sqmsrvnjits.cc, stlgegbye.net, syryb.org, tdwrkv.ws, tfpazwas.cc, tigeseo.org, tjyhrcfxuc.cn, tkbyxr.ws, tlmncy.cn, tmlwmvv.ws, tnerivsvs.net, tomxoa.org, trpkeyqapp.net, tyjtkayz.c, m, uazlwwiv.org, ucgqvyjgpk.cn, uixvflbyoyi.biz, ujawdcoqgs.org, upxva.net, uuvjh.biz, uzugvbnvs.cn, vgmkhtux.ws, vjllpcucnp.cn, vkgxgxto., om, vwiualt.com, waxggypgu.org, wccckyfrtf.net, wfdnvlrcb.org, whjworuc.com, wmiwxt.biz, wohms.biz, wqqfbutswyf.info, wsdlzmpbwhj.net, xic, ytmeger.cc, xkjdzqbxg.cn, xldbmaztfu.biz, xlwcv.cn, xqbovbdzjz.info, xwbubjmhinr.info, yfpdcquil.info, yfybk.ws, yhrpqjhp.biz, yoblqeruib., rg, yoyze.cc, yshpve.cc, ysrixiwyd.com, ytfvksowgul.org, ywsrtetv.org, yzymygez.biz, zcwjkxynr.com, zfgufbxi.net, zkimm.info, zmoeuxuh.ws, zokxy.net, zqrsbqzhh.cc, zttykt.info, zutykstmrxq.ws システムの日付が 2009 年 1 月 1 日またはそれ以降であるかどうかを確認します。また、次の Web サイトの日付を確認して、おそらく検証を行います: baidu.com, google.com, yahoo.com, msn.com, ask.com, w3.org
このワームはスレッドを作成し、パイプからダウンロード、認証および実行まで http URL のリンク先を継続的に許可します。
システム構成の改ざんWin32/Conficker.C はシステム構成を変更するため、ユーザーは隠しファイルを表示できません。これは次のレジストリ エントリが変更されることで起こります。
追加値: "CheckedValue"データ: "0"サブキー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
また、多数の同時接続を許可するシステムの TCP 構成を変更します。 0x00FFFFFE は 16 進 (16,777,214 10 進値/デシマル値) です。
追加値: "TcpNumConnections"データ: "0x00FFFFFE"サブキー: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
このワームは一時ファイルをドロップし、変更を有効にするために TCP/IP サービスを再起動させようとします。ドロップされたこのファイルは Trojan:WinNT/Conficker.B として検出されます。
TCP/IP の起動を無効にし、サービスを終了および無効にするWin32/Conficker.C は次のコマンドを実行して Vista の TCP/IP の自動チューニングを無効にします。
netsh interface tcp set global autotuning=disabled
このワームは、以下のような重要なシステム サービスのいくつかを終了させます:
Win32/Conficker.C は、Windows Defender のレジストリ キーを削除し、システムの起動の際に実行しないようにします。
削除される値: "Windows Defender"サブキー: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
また、次の文字列が含まれているモジュール名を持つすべてのプロセスが、ネットワーク トラフィックまたはデータ送信が無効になります (注: これらのほとんどの文字列がウイルス対策およびセキュリティ ソフトウェアに関連しているため、製品が署名の更新を入手できなくなり、これらの文字列が含まれている URL の Web サイトにユーザーがアクセスできなくなる可能性があります)。
virus, , pyware, malware, rootkit, defender, microsoft, symantec, norton, mcafee, trendmicro, sophos, panda, etrust, networkassociates, computerassociates, f-, ecure, kaspersky, jotti, f-, rot, nod32, eset, grisoft, drweb, centralcommand, ahnlab, esafe, avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri, ikarus, k7computing, norman, pctools, prevx, rising, securecomputing, sunbelt, emsisoft, arcabit, cpsecure, spamhaus, castlecops, threatexpert, wilderssecurity, windowsupdate
システムの復元ポイントをリセットするWin32/Conficker.C はコンピューター システムの復元ポイントをリセットし、システムの復元を利用してリカバリができなくなる可能性があります。
インターネット接続を確認するWin32/Conficker.C は、次の Web サイトに接続を試行し、システムのインターネット接続の状態を確認します。
aol.com ; cnn.com ; ebay.com ; msn.com ; myspace.com
任意のファイルをダウンロードするシステムの日付により、Win32/Conficker.C は 2009 年 1 月 1 日からのファイルをダウンロードするため、下の形式で URL を作成する可能性があります。
http://<pseudo-random generated URL>/search?q=%d
生成された URL はシステムの現在の日付に基づいています。作成された URL は以下の最上位のドメインのひとつを使用します。
cc, .cn, .ws, .com, .net, .org, .info, .biz
作成された URL の例は次の通りです:
aaovt.com, aasmlhzbpqe.com, addgv.com, ajsxarj.org, apwzjq.ws, aradfkyqv.org, arztiwbeh.cc, baixumxhmks.ws, bfwtjrto.org, bfwvzxd.info, bma, qlhulq.cc, byiiureq.cn, cbizghsq.cc, cbkenfa.org, ciabjhmosz.cc, cruutiitz.com, ctnlczp.org, ctohyudfbm.cn, dcopyoojw.com, djdgnrbacwt.ws, dmwemynbrmz.org, dofmrfqvis.cn, doxkknuq.org, dozjritemv.info, dyjsialozl.ws, eaieijqcqlv.org, eewxsvtkyn.net, eidqdorgmbr.net, eiqzepxacyb, cn, ejdmzbzzaos.biz, ejmxd.com, ejzrcqqw.net, ekusgwp.cc, eprhdsudnnh.biz, evmwgi.ws, falru.net, fctkztzhyr.org, fdkjan.net, fhfntt.org, f, spuip.biz, fjpzgrf.net, fkzdr.cn, ftjggny.com, fuimrawg.info, ghdokt.cn, glbmkbmdax.biz, gmhkdp.org, gocpopuklm.org, grwemw.biz, gtzaick.c, , gxzlgsoa.info, gypqfjho.info, hduyjkrouop.info, hfgxlzjbfka.biz, hkgzoi.com, hliteqmjyb.net, hmdtv.ws, hoyolhmnzbs.net, hprfux.cc, hqbtt, qr.org, hueminaii.org, hvogkfiq.info, ifylodtv.ws, iivsjpfumd.ws, ilksbuv.cn, imuez.biz, izxvu.biz, jaumgubte.biz, jhbeiiizlfk.cn, jrdzx.c, , jshkqnnkeao.biz, judhei.com, jxfiysai.cc, jzoowlbehqn.info, karhhse.com, kbyjkjkbb.info, kjsxokxg.org, krudjhvk.org, kuiwtbfa.org, lauow, ef.cn, lhirjymcod.net, liugwg.net, lksvlouw.ws, llgkuclk.info, lnpsesbcm.cn, lssvxqkqfmf.org, lygskbx.cc, mafwkeat.cn, mgqrrsxhnj.com, mhk, psbuh.cc, mknuzwq.cc, mqjkzbov.net, myfhc.com, navjrj.org, nbpykcdsoms.com, ncbeaucjxd.org, npfxmztnaw.cn, nuiptipwjj.cc, nvpmfnlsh.ws, oa, wongs.ws, odvsz.net, okkpuzqck.ws, oqolfrjq.cn, orduhippw.cn, orpngykld.com, orxfq.ws, othobnrx.org, otnqqaclsgx.info, otukeesevg.biz, pbf, hhvzkp.cc, pbpigz.cn, pcnpxbg.cc, pdfrbmxh.biz, pfdthjxs.cc, phaems.cc, phetxwmjqsj.cc, pmanbkyshj.ws, pnjlx.cc, ppzwqcdc.cc, psabcdq.cc, , tdlwsi.cn, pvowgkgjmu.biz, pwsjbdkdewv.info, qbuic.com, qdteltj.org, qeotxrp.com, qfeqsagbjs.biz, qfhqgciz.org, qfogch.com, qijztpxaxk.cn, qlqrgqordj.ws, qpiivu.cn, qpuowsw.cc, qqbbg.cc, qrrzna.net, qvrgznvvwz.ws, qwdervbq.org, qwnydyb.cc, qzbpqbhzmp.com, rkfdx.org, rpphv.org, , skvraofl.info, ryruatsot.biz, sdkhznqj.info, sezpo.org, sfozmwybm.com, skwmyjq.org, solmpem.com, sqmsrvnjits.cc, stlgegbye.net, syryb.org, tdwrkv.ws, tfpazwas.cc, tigeseo.org, tjyhrcfxuc.cn, tkbyxr.ws, tlmncy.cn, tmlwmvv.ws, tnerivsvs.net, tomxoa.org, trpkeyqapp.net, tyjtkayz.c, m, uazlwwiv.org, ucgqvyjgpk.cn, uixvflbyoyi.biz, ujawdcoqgs.org, upxva.net, uuvjh.biz, uzugvbnvs.cn, vgmkhtux.ws, vjllpcucnp.cn, vkgxgxto., om, vwiualt.com, waxggypgu.org, wccckyfrtf.net, wfdnvlrcb.org, whjworuc.com, wmiwxt.biz, wohms.biz, wqqfbutswyf.info, wsdlzmpbwhj.net, xic, ytmeger.cc, xkjdzqbxg.cn, xldbmaztfu.biz, xlwcv.cn, xqbovbdzjz.info, xwbubjmhinr.info, yfpdcquil.info, yfybk.ws, yhrpqjhp.biz, yoblqeruib., rg, yoyze.cc, yshpve.cc, ysrixiwyd.com, ytfvksowgul.org, ywsrtetv.org, yzymygez.biz, zcwjkxynr.com, zfgufbxi.net, zkimm.info, zmoeuxuh.ws, zokxy.net, zqrsbqzhh.cc, zttykt.info, zutykstmrxq.ws
システムの日付が 2009 年 1 月 1 日またはそれ以降であるかどうかを確認します。また、次の Web サイトの日付を確認して、おそらく検証を行います:
baidu.com, google.com, yahoo.com, msn.com, ask.com, w3.org
小野寺です
本日、2つのセキュリティ アドバイザリを新たに公開しました。
アドバイザリ 968272 (Excel): Microsoft Office Excel の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/968272.mspx
このアドバイザリでは、Excelの脆弱性が標的型攻撃で悪用され、ユーザーが、特別な細工を施されたファイルを開く事で不正なコードが実行される可能性がある事をお知らせするものです。この脆弱性に対するセキュリティ更新プログラムは、調査・検討中で、現時点では、まだ提供しておりません。
Excel 2007 で、Excel 2003以前のファイル形式 (*.xls等) を開く際に、この脆弱性が悪用される可能性がありますので、以前から提供している MOICE とファイル ブロッカー等を使用する事で今回の脆弱性が悪用される可能性を回避する事ができます。
アドバイザリ 968272 (Autorun): Windows Autorun (自動実行) 用の更新プログラム http://www.microsoft.com/japan/technet/security/advisory/967940.mspx
このアドバイザリでは、Autorun (自動実行、自動再生)の機能を無効にするために必要な更新プログラムの公開をお知らせするものです。Autorun を無効にするためには、NoDriveTypeAutoRun レジストリ キーを設定する必要があるのですが、レジストリ キーが想定通りに機能しないという問題がサポート技術情報 953252でお伝えしていました。 今回は更新プログラムを、Microsoft Updateを通じて配布可能な更新プログラム (967715)を新たに公開しています。既に、更新プログラム (953252)を適用している場合は、更新プログラム (967715)を新たに適用する必要はなく、Microsoft Updateでも配信されません。
なお、これらの更新プログラムを適用しても、Autorunが無効になるわけではありません。無効にしたい場合には、サポート技術情報 967715 に従って、レジストリ値の変更、またはグループポリシーの設定を行う必要があります。これらの更新プログラムは、設定が正しく反映され、期待される動作結果となる様にするための更新プログラムです。
前回紹介した株式会社インターネットイニシアティブ (IIJ) のInternet Infrastructure Review の第2版が公開されたようです。 http://www.iij.ad.jp/development/iir/
MS08-067についてIIJさんのお客様の事例が簡単に紹介されている。また、フォーカスリサーチで、DNSのキャッシュ ポイゾニングについて、非常に丁寧で分かりやすい解説が行われており、一読することをお勧めしたい。
そのほかにも、興味深い内容がまとめられており、ソフトウェアベンダーとは、また違う視点があって読んでいて勉強になります。英語版を作ったら海外でも評価されるのではないかな・・・
2009年2月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 4 件 (緊急 2 件、重要 2 件)となります。また、新規に、Internet ExplorerのKillbit設定に関するセキュリティ アドバイザリを公開しています。セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-feb.mspx
毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx
MS09-002 (IE):特別な細工が施されたWeb ページを表示すると、リモートでコードが実行される可能性があります。現時点では、脆弱性の詳細は公開されていませんが、最近の流れから早々に解析し、悪用コードとして公開される可能性が考えられます。また、悪用コードが作られた場合、脆弱性悪用指標でもお伝えしているとおり、比較的安定した悪用コードになる可能性が高いと予測しています。 最近のマルウェアの拡散手法としてWeb経由が多いと考えられています、この更新だけではありませんが、早々に適用する事を強くお勧めします。
MS09-003 (Exchange):特別に細工されたメールまたは、通信により、リモートでコードが実行される可能性があります。電子メールでの悪用となると、通常では悪用が行いやすい傾向にあると言えますが、比較的不安定な悪用コードになる可能性があると予測しています。そのため、コード実行されExchange Serverが侵害される可能性より、悪用コードによりExchange Serverが不安定になりサービス拒否攻撃の状態になるケースが多いかもしれません。この脆弱性については、緩和要素がなく、かつ攻撃の経路として電子メールなどを使った外部からの攻撃が容易な事を考えると、早期に適用するべきと考えます。
MS09-004 (SQL):特定のストアドプロシジャーに不正なパラメータを与える事により、リモートでコードが実行される可能性があります。セキュリティ アドバイザリ 961040でお知らせしたいた、脆弱性に対処したものとなります。 既にアドバイザリで示された回避策を実施している場合も、更新プログラムの適用を推奨しますが、その場合の回避策の解除手順は、セキュリティ情報に記載しています。
MS09-005 (Visio):特別な細工が施されたファイルをVisioで読み込むことによって、リモートでコードが実行される可能性があります。外部から送られてきたVisioに関するファイルを開かない事である程度回避できますが、人間の注意には限界がありますので、更新プログラムは適用し置いた方が良いでしょう。
セキュリティ アドバイザリ (新規):
アドバイザリ (960715):このアドバイザリは、Internet Explorerに、KillbitとよばれるActiveXコントロールの動作禁止設定を行う為の更新プログラムの公開をお知らせしています。 通常はセキュリティ更新プログラムとしてセキュリティ情報と共に公開いたしますが、新規にマイクロソフト製品に関するKillbitを含まないため、セキュリティ情報の公開は行っていません。 今回は、Internet Explorerを使っている利用者がより安全となるよう、他社の脆弱性による影響を緩和させるために行っています。
また、本日よりセキュリティ アドバイザリのフォーマットを見直し、日本語版のみ以下の様な要訳情報を付加しています。Webサイトに寄せられるフィードバックから、一目で概略的な情報が得られるようにしています。しかし、あくまでも概略ですので、関連があると思った場合は、概略に続く詳細情報を呼んでいただきたいと考えています。
お知らせ内容
更新プログラムの公開
更新プログラム
サポート技術情報 960715
被害報告
他社製品のため被害報告は掲載していません。
回避策
あり
対応方法
サポート技術情報 960715 で提供している更新プログラムをインストールしてください。
悪意のあるソフトウェアの削除ツール (MSRT):今月は、Srizbi および Conficker に対応しています。Confickerは前回も対応していており、更新という位置づけです。
Confickerについて、以下のサイトも合わせて公開しています。http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx
セキュリティ ニュースレターの編集長をしています早川です。
セキュリティ ニュースレターの記事を簡単に紹介します。セキュリティ ニュースレターは毎月第4水曜日に配信している無料のニュースレターで、実践に役立つセキュリティのヒントや、最新のセキュリティ ガイダンス、実用的なリソースの情報をお届けしています。
ニュースレターの購読は、購読申し込みサイト からどうぞ!
今月の目次をご紹介
特集記事:
第2特集:
セキュリティ ガイダンス:
家庭向けセキュリティ情報:
今月のセキュリティ情報:
今月のセキュリティ アドバイザリ:
最新号は、マイクロソフト セキュリティニュースレターのご案内からもご覧いただけます。
2009年2月のワンポイントセキュリティを公開しました。
2009年2月のワンポイントセキュリティ情報は、過去のワンポイント セキュリティ情報のサイトより、フルサイズ版・縮小版ビデオや音声版ダウンロードファイルでご利用可能です。
最新のワンポイント セキュリティ情報は、今月のワンポイント セキュリティ情報からご視聴いただけます。
小野寺です。 今月は、計4件 (緊急2 件, 重要 2 件) の公開を予定しています。リリース日は、週明け水曜日 (2/11) となり、日本では祝日となります。しかしながら、他の国々は通常通りの営業日ですので、日付を変更せずに、従来通り英語版と同時に提供します。
公開予定の詳細は、以下の事前通知のサイトをご覧ください。http://www.microsoft.com/japan/technet/security/bulletin/ms09-Feb.mspx
Internet Explorer
緊急リモートでコードが実行される
要再起動
Microsoft Windows, Internet Explorer
Exchange
不要
Microsoft Exchange Server
SQL Server
重要リモートでコードが実行される
再起動が必要な場合あり
Microsoft SQL Server
Visio
Microsoft Office
また、ActiveX Killbits の更新も同時に提供を開始予定です。 この更新は、今回は新規にMicrosoftの製品を含まないので、通常の更新プログラムとして提供します。この他、Microsoft UpdateやWSUSを通じて配信予定の他の更新プログラムの情報は、以下のサポート技術情報に掲載しています。http://support.microsoft.com/kb/894199/en-us
MMPC (Microsoft Malware Protection Center) が 新しいポータル (Portal V2)のベータ版を公開しました、色々と便利な機能が追加されています。それに伴い、彼らのBlogも公開されていますので、翻訳版を紹介します。
------- (MMPC Threat Research & Response Blog)
MMPC チームは MMPC Portal V2 ベータ版を公開したことをお知らせします! MMPC Portal V2 ベータ版 (英語):www.microsoft.com/security/portal/beta フィードバックはこちらまでおよせください:フィードバックは MS Connect まで、または直接 MMPC Portal V2 Beta までおよせください。 それでは、重要な詳細をここでお知らせします。さらに興味深い部分「MMPC Portal V2 ベータ版とは?」についてお話しましょう。MMPC Portal V2 ベータ版は MMPC Portal の次期バージョン (V2) のプレビューで、最終的な V2 の機能のサブセットを含んでいます。これらの機能には、効率化された検体提供 (stream-lined sample submission) が含まれ、MMPC プロファイルを作成することでこれを実現しています。ログインすると、MMPC プロファイルに保存された情報が検体提供フォームを自動で入力し、検体提供プロセスを迅速に処理します。検体提供への別の向上点、またおそらく最もエキサイティングな新しい機能は提供の状況をオンラインで追跡できる機能でしょう。今やユーザーはポータルにログインしている間に行われたすべての検体提供の状態を追跡できます。検体提供の追跡情報には、サンプルで行われた分析の最新の状態や分析中に確認された検体ユーザーを確認された検体から保護する定義が含まれています。このベータ版にはナビゲーションをスマートに行う新しい UI も含まれ、コンテンツへのアクセスが向上します。MMPC は「ヘルプ (help)」セクションおよび「ログの変更 (change log)」を含む新しいコンテンツを開発し、これによりユーザーはある定義から別の定義へと新しい検体および更新された検体を確認することができます。チームでは、また、内容の向上したコンテンツも用意しました。このコンテンツは、すべてのマイクロソフトのセキュリティ製品について定義を更新するための説明、広範な用語集、マルウェアの別名、アラートのレベル、説明が最初に追加された際、最新の更新日をリストする脅威の説明の概要、お客様を脅威から保護する定義が含まれています。
これはほんのさわりの部分です! こちらでチェックしてください追加情報:このベータ版は私たちの現在のポータルと並行して公開しています。MS Connect で リリース ノート、調査、バグの登録、およびよく寄せられる質問をご覧いただけます。 Monilee