日本のセキュリティチーム (Japan Security Team) : Conficker

セキュリティインテリジェンスレポート第7版(2009年上半期)

JSECTEAM — Mon, 02 Nov 2009 20:07:00 GMT

小野寺です。

2009年上半期の脆弱性やマルウェア動向についてまとめた、セキュリティインテリジェンスレポート (SIR) 第7版を公開しました。
本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。最新のレポートは、以下のサイトから入手できます。要約版である、主要な調査結果 (Key Findings)の概要を、各国語でこうかいしていますが、今回は、日本語版のみ完全版レポートから「各地域における脅威の評価」、「各国の最善策 (Best Practice)」を抜粋して日本語化して付録として追加しています。

研究者だけではなく、IT管理者や開発者の方には必ず読んでほしい、レポートになっています。

マイクロソフトセキュリティインテリジェンスレポート v7
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd

さて、今回も感染率で色分けした、世界地図から確認してみます。
今回、前回から地図に大きな変化があります。日本の緑が薄くなっているのが確認できると思いますが、日本の感染率が、前回の1.7から3.0に悪化しています。単一ファミリの感染数では、Win32/Taterfが最も多いのですが、そのほか、Win32/Hupigonがアジア圏を蔓延していたことが確認されています。そのほか、全体的に満遍なく、感染数が増えた印象があります。

これらのマルウェアの感染種別については、家庭と企業でも違いが出ており、以下のような状態となっています。

このようなデータ以外にも、最近の攻撃手法に関する考察、フィッシングや、スパムの状況などをまとめていますので、まずは、主要な調査結果(KeyFindings)をご覧ください。

最後に、日本は、今回感染率が、悪化したものの世界的に感染率の低い国には変わりなく、この低い理由を、IPA様の協力を得てベストプラクティス(最善策)としてまとめています。普段目にすることのない、いろいろな人の活動が少しだけ垣間見えるかもしれません。

無償マルウェア対策ソフト: Microsoft Security Essentials (Morro)

JSECTEAM — Fri, 19 Jun 2009 11:46:00 GMT

小野寺です。

昨年の11月頃に、無償のマルウェア対策製品(開発コードネーム'Morro')を提供するとアナウンスしておりました。
既に報道等々で、ご存知の方も多いかと思いますが、「Microsoft Security Essentials」という名称で、正式提供に向けて作業を進めており、来週から英語版、簡体中国語版とポルトガル語版で、βテストも開始されます。βの完了後、完成版のリリースの際には、日本語も含めて幾つかの言語版を提供する予定です。

Microsoft Security Essentials が動作するのは、Windows XP Service Pack 2以降、Windows Vista, Windows 7 の各64bit/32bit版を予定しています。提供方法は、Webからのダウンロード配布となると思います。

Microsoft Security Essentials が提供される事で、いままで、ウイルス対策ソフトを購入する事が難しい経済事情の国、セキュリティにどうしても意識の向かなかった方々も含めて、マルウェア対策ソフトの導入率を向上させたいというのが私の願いです。
マルウェアは、ネットワークにつながる誰かが感染していれば、犯罪者は利益を得られる為、行為を継続しますし、感染端末は、他の端末への脅威となります。対策ソフトの普及で、この感染端末が今よりも、少しでも減っていけば、今よりも安全なインターネットになるはずです。

マルウェア対策ソフトの普及率が低くないと言われる日本ですら、毎月の「悪意のあるソフトウェアの削除ツール」(MSRT)で、種類によっては、数万単位のマルウェアが駆除される事があります。日本ですら、そのような状況で他の国はもっと悲観的な状況である事はご想像に難くないと思います。

このMicrosoft Security Essentialsで、すべてのマルウェアの問題を解決できるわけではない事は分かっています。しかし、この対策ソフトの提供で、少し状況を変えて、犯罪者が動きにくいインターネットを実現したいですね。司法と協力したマルウェア開発者の逮捕への協力活動や、製品自体の安全性や安全のための機能強化は、今まで以上に力を入れていきます。

ちなみに、企業、サーバー向けとしてForefrontの提供も継続していきます。統合的な管理、サポート、マルウェア対策以上にセキュリティの脅威全体に対処するための機能が必要なケースでは、Forefrontをお勧めします。 Microsoft Security Essentials は、マルウェア対策のすそ野を広げる事が目的のソフトウェアですので、法人での利用や、既存の信頼のおけるマルウェア対策ソフトウェアからの置き換えには不向きかもしれません。

セキュリティインテリジェンスレポート第6版(2008年下半期)

JSECTEAM — Thu, 09 Apr 2009 04:30:00 GMT

小野寺です。

2008年下半期の脆弱性やマルウェアの動向をまとめた、セキュリティインテリジェンスレポート (SIR) 第6版を公開しました。本レポートは、半期に一度公開しており、さまざまなデータを基に現在のセキュリティ動向を分析しています。最新のレポートは、以下のサイトから入手できます。要約版である、主要な調査結果の概要は、日本語でご覧いただけます。この種の研究者だけではなく、システム運用や開発にかかわる方にはぜひ、読んでいただきたい内容になっています。

マイクロソフトセキュリティインテリジェンスレポート
http://www.microsoft.com/japan/sir/

さて、恒例？の感染率で色分けした、世界地図から確認してみます。日本は、引き続き緑ですが、前回に比べて、幾つかの国で大きく感染率が下がっています。逆に急激に悪化した国もあります。この感染率は、悪意のあるソフトウェアの削除ツール(MSRT)を1000回実行した当たりのマルウェア削除件数 (CCM) です。

さて、日本は、マルウェアに感染しているかどうかという意味では、他の国に比べて感染率が低めなのですが、サーバー(またはクライアント)が侵害されマルウェアの配布元になっているかを調べてみるとどうなのでしょうか？日本も、マルウェアを配布してしまっている事が分かります。これは、不適切なWebアプリケーションへのSQL インジェクションだったり、Drive By Downloadによる侵害や、そもそも管理されていないWebサーバー(WindowsもOSSも)がそれなりあるのだと思います。もちろん、Webだけではなく、通常のクライアントがBot等に感染して配布しているケースも含まれています。

この辺の攻撃を受けてしまう環境は、繰り返しになりますが適切に管理されていない事が原因の一端だと思います。企業でのConfickerの感染もそうですが、多くはパッチ(セキュリティ更新プログラム)を適用していない場合が多いと思います。サービスパックやパッチを適用しないと本当に、感染しやすいかは、以下を見ていただくと分かりやすいと思います。上記の地図同様にCCMをOSとサービスパック毎に集計したデータです。当たり前かもしれませんが、新しい方がより被害にあいにくいと言えます。

この他、今回のレポートでは、詐欺的セキュリティソフト、Drive By Download、文書ファイル(OfficeとPDF)による攻撃等に多くのページを割いており、幾つか面白い発見があるかもしれません。
サーバーを立てている個人、管理者、ソフトウェアの開発者に方々には、現状の脅威に即した適切な管理と対応を切に願うばかりです。

なにもなし

JSECTEAM — Wed, 01 Apr 2009 09:48:00 GMT

小野寺です。

4/1 にまつわる話が色々あった Conficker ですが、概ね世界中で平穏な様です。

これは、(各社が警告を発する事で)事前に十分な準備ができたからなのか、Conficker の登場から時間が経過して既に十分な駆除が行われていたからなのかは、はっきりとはしませんが、一部ベンダーが警告していた様な危機的な状況は、避けられたようです。

しかしながら、今回のConfickerは、数年ぶりの目に見えて話題となったマルウェア (ワーム) だと思います。最近は、MSRT や ForeFront の検出データでは、凄い事になっていても、誰も気づかないので騒ぎにならない・・・という静かに動くマルウェアが主流だったからです。

また、現時点までを見てみると、セキュリティ更新プログラムを概ね速やかに適用していた個人利用者からの被害報告や問い合わせは、皆無と言って良いほど少なかったのですが、ニュースにも一部報道された様に、世界各国の企業では、幾つか感染が報告されています。

企業システムで、「検証のためにパッチが直ぐに適用できない」という意見を聞きますが、本当にそうなのでしょうか？確かに、2000 年前後は、セキュリティ更新プログラムを適用すると問題が発生する事も有ったのは事実ですが、現在の月例化したリリースプロセスにしてからは、品質的にかなり安定してきていると感じています。また、品質面以外にも再起動の問題もあるかもしれませんが、再起動が許されない様な高可用性システムが、何のフェールセーフもなく、1 台で稼働しているとは思えません (実際に有るのは知っています)。何らかのフェールセーフのある 2 台以上で構成されるシステムであれば、1 台ずつ適用する事で問題はないはずなのです。そして、これらの問題点について、サーバーシステムも、クライアントも同列に考えられている様に思えます。少なくとも、クライアント側の再起動が問題になる場合は、非常に限られている気がします。

もちろん、Conficker に関しては、脆弱なパスワードの問題 (と、それに関連した高権限アカウントによる感染拡大) や、USB メモリを経由した持ち込み感染があるので、パッチ管理だけが問題ではないですが、根底は、管理・掌握が十分ではないという点で同じではないかと、思っています。

日本では、システム稼働後は、”変更せずに” 安定運用させる事を良しとする傾向がありますが、それは周りの環境が変化しなかった時代の話で、今のビジネスも、セキュリティも日々状況が変化する中では、容易に柔軟に変更できるシステムやクライアント群を前提に考えてもいいのではないかと思います。

残念なことに、RFP とかを読んでも、定期・不定期 (突発性) の保守・メンテナンスに対する要求事項が記載された物をあまり見た事がありません。

取りとめなく書きましたが、Conficker に絡んで思った事を徒然に書いたので、落ちも、ネタも、なにもなし・・・です。

2009年3月のセキュリティ情報

JSECTEAM — Tue, 10 Mar 2009 23:03:00 GMT

小野寺です

2009年3月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 3 件 (緊急 1 件、重要 2 件)となります。
また、MS08-052の更新プログラムを一部環境向けに再提供しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-mar.mspx

毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS09-006 (Windows Kernel):
特別な細工が施された画像ファイルの表示によるリモートでコードが実行される可能性または、プログラムの実行により特権の昇格が可能となる可能性があります。
現時点では、脆弱性の詳細は公開されておらず、悪用コードが作成されたとしても安定したコードの提供は難しいと可能性があります。結果、特権の昇格やコードの実行が起こる前に、異常終了等によるサービス拒否状態になる事がおおかもしれません。また、安定したコードが発見された場合の脆弱性としての危険度は高いものとなりますので、不安定なコードで済んでいるうちに、早々に更新を適用するべきです。

MS09-007 (Windows SChannel):
この脆弱性により、クライアント認証を持っていない攻撃者が、クライアント認証の所有者になりすます可能性があります。
サーバー等で、証明書認証を使用している場合に認証を誤魔化される様な場合が最も想定しやいのですが、実際に悪用しようとすると必要条件(悪用のための前提)が多く、実際の悪用は容易ではないと思われます。
しかしながら、必要条件が満たされれば悪用できますので、早めに更新を適用する事をお勧めします。

MS09-008 (DNS/WINS):
大胆に簡略化すると、DNS/WINSサーバーの登録情報を改竄できる、または応答をごまかせる、名前解決時のなりすましの可能性があります。
これにより、本来のURLや、マシン名で接続しているはずにもかかわらず、攻撃者の要したサイトやマシンに誘導される可能性があります。
MS08-037で対策済みのDNSのなりすまし問題と被害結果は同様ですが、今回の対策した脆弱性については攻撃の成功確率はそれほど高くは有りません。必要条件がそれなりにあり、また、悪用のためのコード（プログラム）の安定化させる事は難しいと思われます。
しかし、万が一悪用された場合は管理者側、利用者側が悪用された事に気が付きにくい性質の脆弱性ですので、早めに更新を適用する事をお勧めします。

セキュリティ情報 (更新):
MS08-052 (GDI+):
MS08-052 は、GDI+ に関する脆弱性に対応していますが、幾つかの環境向けに更新プログラムを再提供しています。
最初に提供した更新プログラを適用後に、サービスパックを適用するこおで、脆弱性に未対応の状態に戻ってしまう場合がある事が分かり、その問題に対処したものを再提供しています。サービスパック適用後に、既存の更新プログラムを適用している様な場合は、再適用の必要はありません。
また、今回対象になったのは、以下のOS向けの更新プログラムです。

Windows XP Service Pack 3 (Service Pack 2の時に更新を適用し、その後 Service Pack 3を適用した場合)
Windows Server 2003 Service Pack 2 (Service Pack 1の時に更新を適用し、その後 Service Pack 2を適用した場合)

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Koobface に対応しています。

Conficker.C (Downadup)

JSECTEAM — Fri, 27 Feb 2009 06:21:00 GMT

小野寺です。

Conficker (Downadup)について、Conficker.C という新しい種が出て、「今までの対策が無効に！」等と刺激的な言葉を散見しますが、以前お知らせしたConfickerの対策を行っていれば、Conficker.Cの感染を防ぐ事は可能です。ただ、感染してしまった場合は、従来のConficker以上にバックドア機能やファイルのダウンロード機能が強化されているため、別の脅威が感染PCに持ち込まれる可能性があります。
Confickerに関するまとめ対策等をまとめた記事は、「Conficker(Downadup)ワームに関するまとめ」をどうぞ

以下に、Conficker.C の情報の日本語抄訳を転記しておきます。

-----

別名:
TA08-297A (その他)
CVE-2008-4250 (その他)
VU827267 (その他)
Conficker B++ (その他)

概要:
Win32/Conficker.C は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上の他のコンピューターを感染させるワームです。脆弱性が悪用されると、共有ファイルを有効にした際にリモートでコードが実行される可能性があります。また、リムーバブルドライブおよび脆弱な管理者パスワードを介して蔓延する場合があります。また、重要なシステムサービスやセキュリティ製品などが無効にされます。

マイクロソフトは、ユーザーがセキュリティ情報 MS08-067 のセキュリティ更新プログラムを直ちに適用することを強く推奨します。また、マイクロソフトはユーザーが脆弱な管理者パスワードを介して蔓延するこのワームから防御するため、強固なネットワークパスワードを使用するよう推奨します。詳細情報はこちらをご覧ください。

現象
システム設定の変更:
マルウェアが存在する場合、次のようにシステムが変更される可能性があります:

次のサービスが無効になる、または実行しなくなります:
Windows Update Service
Background Intelligent Transfer Service (BITS)
Windows Defender
Windows Error Reporting Services
次のレジストリが変更されたことで、ネットワーク上で大量のコネクションを作成し、ログオンを試行します。そのため、アカウントロックアウトが発生しやすくなる場合があります。
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = "0x00FFFFFE"
ユーザーは次の文字列が含まれている Web サイトまたはオンラインサービスに接続できなくなる場合があります。
virus, spyware, malware, rootkit, defender, microsoft, symantec, norton, mcafee, trendmicro, sophos, panda, etrust, networkassociates, computerassociates, f-, ecure, kaspersky, jotti, f-, rot, nod32, eset, grisoft, drweb, centralcommand, ahnlab, esafe, avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri, ikarus, k7computing, norman, pctools, prevx, rising, securecomputing, sunbelt, emsisoft, arcabit, cpsecure, spamhaus, castlecops, threatexpert, wilderssecurity, windowsupdate

技術情報:

Win32/Conficker.C は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上の他のコンピューターを感染させるワームです。脆弱性が悪用されると、共有ファイルを有効にした際にリモートでコードが実行される可能性があります。また、リムーバブルドライブおよび脆弱な管理者パスワードを介して蔓延する場合があります。重要なシステムサービスやセキュリティ製品などが無効にされます。

インストール:

Win32/Conficker.C は Windows のシステムフォルダーに <random>.dll の名を使用し、それ自身を隠し DLL ファイルとしてコピーします。それが失敗した場合、次のフォルダーに同じパラメーターを使用してそれ自身をコピーしようとします。

%ProgramFiles%\Internet Explorer
%ProgramFiles%\Movie Maker

次のレジストリエントリを作成し、Windows が起動する際にドロップされたコピーを常に実行させます。

追加の値: "<random string>"
データ: "rundll32.exe <system folder>\<malware file name>.dll,<malware parameters>"
サブキー: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

また、システムファイル svchost.exe で netsvcs グループをダウンロードした場合に、それ自身を起動のサービスとしてダウンロードするようにします。さらに、それ自身を次のキーで登録して、偽のサービスとしてロードさせる可能性があります:

HKLM\SYSTEM\CurrentControlSet\Services

次の文字列から 2 種類を組み合わせた表示名を使用する場合があります:

Boot, Center, Config, Driver, Helper, Image, Installer, Manager, Microsoft, Monitor, Network, Security, Server, Shell, Support, System, Task, Time, Universal, Update, Windows

さらに、ランダムな文字を組み合わせて、表示名を作成する場合があります。

蔓延方法

脆弱なパスワードを用いて共有ネットワークで蔓延する
Win32/Conficker.C はネットワークでマシンを感染させようとします。

まず、現在ログオン中のユーザー権限で、標的のマシンの ADMIN$ 共有へそれ自身のコピーをドロップしようとします。
この方法が失敗した場合 (例: 現在のユーザーに必要な権限がない)、標的のマシンでユーザーアカウントの一覧を入手します。その後、各ユーザー名および下記の脆弱なパスワードを用いて標的のマシンへ接続しようとします。

123, 1234, 12345, 123456, 1234567, 12345678, 123456789, 1234567890, 123123, 12321, 123321, 123abc, 123qwe, 123asd, 1234abcd, 1234qwer, 1q2w3e, a1b2c3, admin, Admin, administrator, nimda, qwewq, qweewq, qwerty, qweasd, asdsa, asddsa, asdzxc, asdfgh, qweasdzxc, q1w2e3, qazwsx, qazwsxedc, zxcxz, zxccxz, zxcvb, zxcvbn, passwd, password, Password, login, Login, pass, mypass, mypassword, adminadmin, root, rootroot, test, testtest, temp, temptemp, foofoo, foobar, default, password1, password12, password123, admin1, admin12, admin123, pass1, pass12, pass123, root123, pw123, abc123, qwe123, test123, temp123, mypc123, home123, work123, boss123, love123, sample, example, internet, Internet, nopass, nopassword, nothing, ihavenopass, temporary, manager, business, oracle, lotus, database, backup, owner, computer, server, secret, super, share, superuser, supervisor, office, shadow, system, public, secure, security, desktop, changeme, codename, codeword, nobody, cluster, customer, exchange, explorer, campus, money, access, domain, letmein, letitbe, anything, unknown, monitor, windows, files, academia, account, student, freedom, forever, cookie, coffee, market, private, games, killer, controller, intranet, work, home, job, foo, web, file, sql, aaa, aaaa, aaaaa, qqq, qqqq, qqqqq, xxx, xxxx, xxxxx, zzz, zzzz, zzzzz, fuck, 12, 21, 321, 4321, 54321, 654321, 7654321, 87654321, 987654321, 0987654321, 0, 00, 000, 0000, 00000, 00000, 0000000, 00000000, 1, 11, 111, 1111, 11111, 111111, 1111111, 11111111, 2, 22, 222, 2222, 22222, 222222, 2222222, 22222222, 3, 33, 333, 3333, 33333, 333333, 3333333, 33333333, 4, 44, 444, 4444, 44444, 444444, 4444444, 44444444, 5, 55, 555, 5555, 55555, 555555, 5555555, 55555555, 6, 66, 666, 6666, 66666, 666666, 6666666, 66666666, 7, 77, 777, 7777, 77777, 777777, 7777777, 77777777, 8, 88, 888, 8888, 88888, 888888, 8888888, 88888888, 9, 99, 999, 9999, 99999, 999999, 9999999, 99999999

Win32/Conficker.C の標的のマシンへのアクセスが成功した場合 (例: 入手したユーザー名と上記のパスワードのひとつを組み合わせて、マシンで特権を獲得した場合)、ADMIN$\System32\<random letters>.dll として、それ自身をアクセス可能な admin 共有へコピーします。

スケジュールされたリモートジョブを作成する
リモートでマシンを侵害すると、Win32/Conficker.C は “rundll32.exe <malware file name>.dll,<malware parameters>" コマンドを使用して、次の画像のように、スケジュールされたリモートジョブを作成します。

マップされたドライブおよびリムーバブルドライブ
Win32/Conficker.C はすべてのマップされたドライブおよびリムーバブルドライブに、ランダムなファイル名でそれ自身のコピーをドロップする可能性があります。このワームはこれらのドライブのルートに、フォルダー名 'RECYCLER' (Windows XP およびそれ以前のバージョン。 "RECYCLER" フォルダーは "ごみ箱" を示します) を作成します。
そして、次のようにワーム自身をコピーします:

<drive:>\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\<random letters>.dll

%d はランダムに選択された文字です。ワームは関連の autorun.inf ファイルもドロップし、ドライブにアクセス、自動再生が有効にされた場合にワームのコピーを実行するように仕掛けます。この autorun.inf ファイルは Worm:Win32/Conficker.B!inf として検出されます。
下の画像は、ユーザーが感染した共有ファイルにアクセスした場合に、どのようにワームが起動されるかを示しています:

最初のオプションでは、［フォルダーを開いてファイルを表示］ (open folder to view files) が表示されますが、このオプションは［プログラムのインストールまたは実行］ (Install or run program) の下にあるため、フォルダーを開くと実際にアプリケーションが実行されることに注意してください。
また、ワームを実行する動作は [発行先は指定されていません] (Publisher not specified) であることを留意してください。上の画像の [全般オプション] (General options) の下のハイライトされている部分を選択した場合、ユーザーは共有ファイルを表示できますが、ワームのコピーを実行できません。

MS08-067 HTTP の「コールバック」
Win32/Conficker.C は Windows Server サービス (SVCHOST.EXE) の脆弱性に対する更新プログラムを適用していないシステムで蔓延します。
脆弱性が悪用された場合、このワームは標的のコンピューターに、HTTP プロトコルで (ワームによって開かれた 1024 から 10000 の間の) ランダムポートを使用して、ワームのコピーをダウンロードさせようとします。この脆弱性については、マイクロソフトセキュリティ情報 MS08-067 で説明しています。

ワームの影響

メモリで NETAPI32.DLL を修正する
Win32/Conficker はメモリで 'NETAPI32.DLL' を修正し、セキュリティ情報 MS08-067 で解決した脆弱性への再感染およびそれ以上の悪用を防ぎます。

実行可能な URL のリンク先をダウンロードする
この亜種は、受信した shellcode (シェルコード) の特定のパターンを確認して、その起源が Win32/Conficker かどうか、shellcode に保存されている更新されたペイロードの URL を特定します。Win32/Conficker.C は Windows 2000 のマシンに \\.\pipe\System_<computer name>7 の名前付きパイプを作成します。

このワームはスレッドを作成し、パイプからダウンロード、認証および実行まで http URL のリンク先を継続的に許可します。

システム構成の改ざん
Win32/Conficker.C はシステム構成を変更するため、ユーザーは隠しファイルを表示できません。これは次のレジストリエントリが変更されることで起こります。

追加値: "CheckedValue"
データ: "0"
サブキー:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

また、多数の同時接続を許可するシステムの TCP 構成を変更します。 0x00FFFFFE は 16 進 (16,777,214 10 進値/デシマル値) です。

追加値: "TcpNumConnections"
データ: "0x00FFFFFE"
サブキー: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

このワームは一時ファイルをドロップし、変更を有効にするために TCP/IP サービスを再起動させようとします。ドロップされたこのファイルは Trojan:WinNT/Conficker.B として検出されます。

TCP/IP の起動を無効にし、サービスを終了および無効にする
Win32/Conficker.C は次のコマンドを実行して Vista の TCP/IP の自動チューニングを無効にします。

netsh interface tcp set global autotuning=disabled

このワームは、以下のような重要なシステムサービスのいくつかを終了させます:

Windows Security Center のサービス (wscsvc) – ユーザーに、セキュリティの構成を通知します (例: Windows update、ファイアウォールおよびウイルス対策)

Windows Update Auto Update サービス (wuauserv)

Background Intelligence Transfer Service (BITS) – Windows Update で使用され、アイドル状態のネットワークの帯域幅を使用して更新プログラムをダウンロードします。

Windows Defender (WinDefend)

Error Reporting Service (ersvc) – マイクロソフトにエラーレポートを送信し、ユーザーエクスペリエンスの改善に役立ちます。

Windows Error Reporting Service (wersvc)

Win32/Conficker.C は、Windows Defender のレジストリキーを削除し、システムの起動の際に実行しないようにします。

削除される値: "Windows Defender"
サブキー: HKLM\Software\Microsoft\Windows\CurrentVersion\Run

また、次の文字列が含まれているモジュール名を持つすべてのプロセスが、ネットワークトラフィックまたはデータ送信が無効になります (注: これらのほとんどの文字列がウイルス対策およびセキュリティソフトウェアに関連しているため、製品が署名の更新を入手できなくなり、これらの文字列が含まれている URL の Web サイトにユーザーがアクセスできなくなる可能性があります)。

virus, , pyware, malware, rootkit, defender, microsoft, symantec, norton, mcafee, trendmicro, sophos, panda, etrust, networkassociates, computerassociates, f-, ecure, kaspersky, jotti, f-, rot, nod32, eset, grisoft, drweb, centralcommand, ahnlab, esafe, avast, avira, quickheal, comodo, clamav, ewido, fortinet, gdata, hacksoft, hauri, ikarus, k7computing, norman, pctools, prevx, rising, securecomputing, sunbelt, emsisoft, arcabit, cpsecure, spamhaus, castlecops, threatexpert, wilderssecurity, windowsupdate

システムの復元ポイントをリセットする
Win32/Conficker.C はコンピューターシステムの復元ポイントをリセットし、システムの復元を利用してリカバリができなくなる可能性があります。

インターネット接続を確認する
Win32/Conficker.C は、次の Web サイトに接続を試行し、システムのインターネット接続の状態を確認します。

aol.com ; cnn.com ; ebay.com ; msn.com ; myspace.com

任意のファイルをダウンロードする
システムの日付により、Win32/Conficker.C は 2009 年 1 月 1 日からのファイルをダウンロードするため、下の形式で URL を作成する可能性があります。

http://<pseudo-random generated URL>/search?q=%d

生成された URL はシステムの現在の日付に基づいています。
作成された URL は以下の最上位のドメインのひとつを使用します。

cc, .cn, .ws, .com, .net, .org, .info, .biz

作成された URL の例は次の通りです:

aaovt.com, aasmlhzbpqe.com, addgv.com, ajsxarj.org, apwzjq.ws, aradfkyqv.org, arztiwbeh.cc, baixumxhmks.ws, bfwtjrto.org, bfwvzxd.info, bma, qlhulq.cc, byiiureq.cn, cbizghsq.cc, cbkenfa.org, ciabjhmosz.cc, cruutiitz.com, ctnlczp.org, ctohyudfbm.cn, dcopyoojw.com, djdgnrbacwt.ws, dmwemynbrmz.org, dofmrfqvis.cn, doxkknuq.org, dozjritemv.info, dyjsialozl.ws, eaieijqcqlv.org, eewxsvtkyn.net, eidqdorgmbr.net, eiqzepxacyb, cn, ejdmzbzzaos.biz, ejmxd.com, ejzrcqqw.net, ekusgwp.cc, eprhdsudnnh.biz, evmwgi.ws, falru.net, fctkztzhyr.org, fdkjan.net, fhfntt.org, f, spuip.biz, fjpzgrf.net, fkzdr.cn, ftjggny.com, fuimrawg.info, ghdokt.cn, glbmkbmdax.biz, gmhkdp.org, gocpopuklm.org, grwemw.biz, gtzaick.c, , gxzlgsoa.info, gypqfjho.info, hduyjkrouop.info, hfgxlzjbfka.biz, hkgzoi.com, hliteqmjyb.net, hmdtv.ws, hoyolhmnzbs.net, hprfux.cc, hqbtt, qr.org, hueminaii.org, hvogkfiq.info, ifylodtv.ws, iivsjpfumd.ws, ilksbuv.cn, imuez.biz, izxvu.biz, jaumgubte.biz, jhbeiiizlfk.cn, jrdzx.c, , jshkqnnkeao.biz, judhei.com, jxfiysai.cc, jzoowlbehqn.info, karhhse.com, kbyjkjkbb.info, kjsxokxg.org, krudjhvk.org, kuiwtbfa.org, lauow, ef.cn, lhirjymcod.net, liugwg.net, lksvlouw.ws, llgkuclk.info, lnpsesbcm.cn, lssvxqkqfmf.org, lygskbx.cc, mafwkeat.cn, mgqrrsxhnj.com, mhk, psbuh.cc, mknuzwq.cc, mqjkzbov.net, myfhc.com, navjrj.org, nbpykcdsoms.com, ncbeaucjxd.org, npfxmztnaw.cn, nuiptipwjj.cc, nvpmfnlsh.ws, oa, wongs.ws, odvsz.net, okkpuzqck.ws, oqolfrjq.cn, orduhippw.cn, orpngykld.com, orxfq.ws, othobnrx.org, otnqqaclsgx.info, otukeesevg.biz, pbf, hhvzkp.cc, pbpigz.cn, pcnpxbg.cc, pdfrbmxh.biz, pfdthjxs.cc, phaems.cc, phetxwmjqsj.cc, pmanbkyshj.ws, pnjlx.cc, ppzwqcdc.cc, psabcdq.cc, , tdlwsi.cn, pvowgkgjmu.biz, pwsjbdkdewv.info, qbuic.com, qdteltj.org, qeotxrp.com, qfeqsagbjs.biz, qfhqgciz.org, qfogch.com, qijztpxaxk.cn, qlqrgqordj.ws, qpiivu.cn, qpuowsw.cc, qqbbg.cc, qrrzna.net, qvrgznvvwz.ws, qwdervbq.org, qwnydyb.cc, qzbpqbhzmp.com, rkfdx.org, rpphv.org, , skvraofl.info, ryruatsot.biz, sdkhznqj.info, sezpo.org, sfozmwybm.com, skwmyjq.org, solmpem.com, sqmsrvnjits.cc, stlgegbye.net, syryb.org, tdwrkv.ws, tfpazwas.cc, tigeseo.org, tjyhrcfxuc.cn, tkbyxr.ws, tlmncy.cn, tmlwmvv.ws, tnerivsvs.net, tomxoa.org, trpkeyqapp.net, tyjtkayz.c, m, uazlwwiv.org, ucgqvyjgpk.cn, uixvflbyoyi.biz, ujawdcoqgs.org, upxva.net, uuvjh.biz, uzugvbnvs.cn, vgmkhtux.ws, vjllpcucnp.cn, vkgxgxto., om, vwiualt.com, waxggypgu.org, wccckyfrtf.net, wfdnvlrcb.org, whjworuc.com, wmiwxt.biz, wohms.biz, wqqfbutswyf.info, wsdlzmpbwhj.net, xic, ytmeger.cc, xkjdzqbxg.cn, xldbmaztfu.biz, xlwcv.cn, xqbovbdzjz.info, xwbubjmhinr.info, yfpdcquil.info, yfybk.ws, yhrpqjhp.biz, yoblqeruib., rg, yoyze.cc, yshpve.cc, ysrixiwyd.com, ytfvksowgul.org, ywsrtetv.org, yzymygez.biz, zcwjkxynr.com, zfgufbxi.net, zkimm.info, zmoeuxuh.ws, zokxy.net, zqrsbqzhh.cc, zttykt.info, zutykstmrxq.ws

システムの日付が 2009 年 1 月 1 日またはそれ以降であるかどうかを確認します。また、次の Web サイトの日付を確認して、おそらく検証を行います:

baidu.com, google.com, yahoo.com, msn.com, ask.com, w3.org

自動再生 (Autorun) & Excel 0-day

JSECTEAM — Wed, 25 Feb 2009 01:26:00 GMT

小野寺です

本日、2つのセキュリティアドバイザリを新たに公開しました。

アドバイザリ 968272 (Excel):
Microsoft Office Excel の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/968272.mspx

このアドバイザリでは、Excelの脆弱性が標的型攻撃で悪用され、ユーザーが、特別な細工を施されたファイルを開く事で不正なコードが実行される可能性がある事をお知らせするものです。この脆弱性に対するセキュリティ更新プログラムは、調査・検討中で、現時点では、まだ提供しておりません。

Excel 2007 で、Excel 2003以前のファイル形式 (*.xls等) を開く際に、この脆弱性が悪用される可能性がありますので、以前から提供している MOICE とファイルブロッカー等を使用する事で今回の脆弱性が悪用される可能性を回避する事ができます。

アドバイザリ 968272 (Autorun):
Windows Autorun (自動実行) 用の更新プログラム
http://www.microsoft.com/japan/technet/security/advisory/967940.mspx

このアドバイザリでは、Autorun (自動実行、自動再生)の機能を無効にするために必要な更新プログラムの公開をお知らせするものです。Autorun を無効にするためには、NoDriveTypeAutoRun レジストリキーを設定する必要があるのですが、レジストリキーが想定通りに機能しないという問題がサポート技術情報 953252でお伝えしていました。
今回は更新プログラムを、Microsoft Updateを通じて配布可能な更新プログラム (967715)を新たに公開しています。既に、更新プログラム (953252)を適用している場合は、更新プログラム (967715)を新たに適用する必要はなく、Microsoft Updateでも配信されません。

なお、これらの更新プログラムを適用しても、Autorunが無効になるわけではありません。無効にしたい場合には、サポート技術情報 967715 に従って、レジストリ値の変更、またはグループポリシーの設定を行う必要があります。
これらの更新プログラムは、設定が正しく反映され、期待される動作結果となる様にするための更新プログラムです。

2009年2月のセキュリティ情報

JSECTEAM — Wed, 11 Feb 2009 01:05:00 GMT

小野寺です

2009年2月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 4 件 (緊急 2 件、重要 2 件)となります。
また、新規に、Internet ExplorerのKillbit設定に関するセキュリティアドバイザリを公開しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-feb.mspx

MS09-002 (IE):
特別な細工が施されたWeb ページを表示すると、リモートでコードが実行される可能性があります。
現時点では、脆弱性の詳細は公開されていませんが、最近の流れから早々に解析し、悪用コードとして公開される可能性が考えられます。また、悪用コードが作られた場合、脆弱性悪用指標でもお伝えしているとおり、比較的安定した悪用コードになる可能性が高いと予測しています。最近のマルウェアの拡散手法としてWeb経由が多いと考えられています、この更新だけではありませんが、早々に適用する事を強くお勧めします。

MS09-003 (Exchange):
特別に細工されたメールまたは、通信により、リモートでコードが実行される可能性があります。
電子メールでの悪用となると、通常では悪用が行いやすい傾向にあると言えますが、比較的不安定な悪用コードになる可能性があると予測しています。そのため、コード実行されExchange Serverが侵害される可能性より、悪用コードによりExchange Serverが不安定になりサービス拒否攻撃の状態になるケースが多いかもしれません。この脆弱性については、緩和要素がなく、かつ攻撃の経路として電子メールなどを使った外部からの攻撃が容易な事を考えると、早期に適用するべきと考えます。

MS09-004 (SQL):
特定のストアドプロシジャーに不正なパラメータを与える事により、リモートでコードが実行される可能性があります。
セキュリティアドバイザリ 961040でお知らせしたいた、脆弱性に対処したものとなります。既にアドバイザリで示された回避策を実施している場合も、更新プログラムの適用を推奨しますが、その場合の回避策の解除手順は、セキュリティ情報に記載しています。

MS09-005 (Visio):
特別な細工が施されたファイルをVisioで読み込むことによって、リモートでコードが実行される可能性があります。
外部から送られてきたVisioに関するファイルを開かない事である程度回避できますが、人間の注意には限界がありますので、更新プログラムは適用し置いた方が良いでしょう。

セキュリティアドバイザリ (新規):

アドバイザリ (960715):
このアドバイザリは、Internet Explorerに、KillbitとよばれるActiveXコントロールの動作禁止設定を行う為の更新プログラムの公開をお知らせしています。通常はセキュリティ更新プログラムとしてセキュリティ情報と共に公開いたしますが、新規にマイクロソフト製品に関するKillbitを含まないため、セキュリティ情報の公開は行っていません。今回は、Internet Explorerを使っている利用者がより安全となるよう、他社の脆弱性による影響を緩和させるために行っています。

また、本日よりセキュリティアドバイザリのフォーマットを見直し、日本語版のみ以下の様な要訳情報を付加しています。
Webサイトに寄せられるフィードバックから、一目で概略的な情報が得られるようにしています。しかし、あくまでも概略ですので、関連があると思った場合は、概略に続く詳細情報を呼んでいただきたいと考えています。

お知らせ内容	更新プログラムの公開
更新プログラム	サポート技術情報 960715
被害報告	他社製品のため被害報告は掲載していません。
回避策	あり
対応方法	サポート技術情報 960715 で提供している更新プログラムをインストールしてください。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Srizbi および Conficker に対応しています。
Confickerは前回も対応していており、更新という位置づけです。

Confickerについて、以下のサイトも合わせて公開しています。
http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx

ISP視点のセキュリティ

JSECTEAM — Tue, 10 Feb 2009 12:43:00 GMT

小野寺です。

前回紹介した株式会社インターネットイニシアティブ (IIJ) のInternet Infrastructure Review の第2版が公開されたようです。
http://www.iij.ad.jp/development/iir/

MS08-067についてIIJさんのお客様の事例が簡単に紹介されている。
また、フォーカスリサーチで、DNSのキャッシュポイゾニングについて、非常に丁寧で分かりやすい解説が行われており、一読することをお勧めしたい。

そのほかにも、興味深い内容がまとめられており、ソフトウェアベンダーとは、また違う視点があって読んでいて勉強になります。英語版を作ったら海外でも評価されるのではないかな・・・

Conficker(Downadup)ワームに関するまとめ

JSECTEAM — Sat, 24 Jan 2009 08:32:00 GMT

小野寺です。

日本国内よりは、海外が主ですが、Conficker (Downadup)について、Microsoft Malware Protection Center (MMPC) Blogで良い記事が出ていたので、抄訳をこちらに掲載しておきます。
追記(2009/2/27 Conficker.C の情報を、公開しました)

Conficker ワームに関するまとめ

マイクロソフトがセキュリティ更新プログラム MS08-067 を公開して以来、私たちは MS08-067の悪用に関する情報、具体的には Conficker ワームに関する情報を、Malware encyclopedia (英語情報) および複数のブログへの投稿で公開しています。例をここで挙げますと、このブログ(訳注: MMPC Blog)で、マイクロソフトが Conficker ワームについて提供した情報および、このワームが悪用する脆弱性 (この脆弱性については MS08-067 で対策しています) の概要を提供しています。

まず、お客様に Conficker ワームがコンピューターに感染するために悪用する様々な攻撃の方法を、ご理解いただくことが重要であるため、様々な攻撃の方法の概要を説明します。この分析に基づき、続いて、お客様がお客様自身を保護するために何ができるかについてのガイダンスを提供します。

最も重要なガイダンスとして、マイクロソフトセキュリティ情報 MS08-067 に関連するセキュリティ更新プログラムをまだ適用していない場合、直ちにこれを適用してください。しかし、このワームは多数の追加の攻撃方法を使用するため、皆さんが、多層防御のアプローチを確立することを支援するための追加情報およびガイダンスを提供します。
最後に、「マイクロソフト悪意のあるソフトウェアの削除ツール」を使用してコンピューターからワームを駆除する方法に関する情報およびポインターを提供します。

ここで、このワームの蔓延方法を分析に話を戻します。現在までのところ、"in the wild"の状態で確認されたものはこのワームの 2 つの変種のみです。まず 1 番目は Worm:Win32/Conficker.A (英語情報) で、2008 年 11 月 21 日に報告され、MS08-067 のセキュリティ更新プログラムにより解決された脆弱性を悪用することによってのみ蔓延します。この変種はウクライナ語版のキーボードの配列を使用するコンピューターは感染しないため、マルウェアの開発者はウクライナに本拠地を置くのではないかと疑われていました。 Worm:Win32/Conficker.B (英語情報) が 2 番目の変種で、これは 2008 年12月29日に報告されました。この変種は複数の蔓延方法を使用します。

MS08-067 を悪用することにより、ネットワークのその他のコンピューターに感染しようとします。この方法はWindows コンピューターにすべてのセキュリティ更新プログラムが完全に適用されていない環境で、ワームに感染の足がかりを与えます。
ワーム自体を標的となるコンピューターの ADMIN$ 共有 (既定で Windows フォルダーです) に(ワーム自体を)コピーしようとします。まず、現在ログオンしているユーザーの資格情報を悪用しようとします。この方法は同じユーザーアカウントがネットワークの異なるコンピューターで使用されており、そのアカウントが管理者権限を持っている環境で、特に有効に機能する可能性があります。これが失敗した場合、異なる方法を試します。標的となるコンピューターのユーザーアカウントの一覧を取得し、各ユーザーと、脆弱なパスワードの一覧 (例: 「1234」、「password」または「student」) を組み合わせて接続しようとします。これらの組み合わせの 1 つが有効で、そのアカウントが書き込みアクセス許可を持つ場合、ワーム自体を ADMIN$ フォルダーにコピーします。
USB ドライブやその他のポータブルストレージなどのリムーバルメディアに、ワーム自体をコピーします。 INF ファイルを追加し、リムーバブルメディアが使用された場合、自動再生ダイアログで 1 つの追加オプションを表示します。下のスクリーンショットで、“Open folder to view files – 発行元は指定されていません” のオプションが、このワームにより追加されたもので、強調表示されたオプション “フォルダを開いてファイルを表示– エクスプローラ使用” が Windows が提供するものです。ユーザーが最初のオプションを選択した場合、ワームが実行されます。

さらに、Conficker はいくつかの構成変更を行うため、Windows を起動した際には常に実行します。
特に、サービスとしてそれ自身を追加し、HKCU\Software\Microsoft\Windows\CurrentVersion\Run の下にレジストリ値を追加します。
また、さまざまなサービスを終了させ、再起動させようとします。詳細情報はこちら (英語情報) をご覧ください。同様に、Worm:Win32/Conficker.B は、ウイルス対策プログラムまたは他のセキュリティソフトウェアと思われる名称が含まれているプロセスのすべてを終了させようとします。
さらに、ウイルス対策およびセキュリティベンダー企業の多くの Web サイト、そして Windows Update のサイトへのアクセスを禁止します。このワームはさらに追加のステップを実行します。マイクロソフトの encyclopedia (英語情報) で詳細をご覧ください。
これらの蔓延方法を考慮した場合、本ワームに感染するリスクを最小限に抑えるために、お客様に複数の措置を講じていただく必要があります。

お客様の環境の Windows のコンピューターすべてに MS08-067 を完全にインストールしてください。各エンタープライズで適用を 100% 完全にするのは非常に困難であると思われるため、次の多層防御のステップも、リスクを軽減するのに役立ちます。
Conficker の検出を確実に行うウイルス対策製品を使用してください。該当のウイルス対策プログラムはワームがそれ自身を他のマシンにコピーするのを防ぐ機能があります。例えば、Microsoft Forefront Client Security および Windows Live OneCare は検出されたまさに当日からこのワームを検出し、禁止します。
お客様の環境の、すべてのユーザーアカウントおよび共有ファイルの両方に堅牢なパスワードを使用してください。
自動再生のオプションについて、お客様に最良の選択をしてください。無効にすることを選択するお客様もいらっしゃいます。

本脅威にネットワークが感染した場合、上記のステップを行い、環境を強化してください。その後、サポート技術情報 KB 962007 の MSRT により、ステップバイステップの手順で駆除してください。

役立つリンク:

セキュリティ更新プログラム:
- セキュリティ情報 MS08-067
  http://www.microsoft.com/japan/technet/security/bulletin/MS08-067.mspx
- WSUS を構成する
  http://technet.microsoft.com/ja-jp/wsus/default.aspx
- マイクロソフトの修正プログラムの管理に関する 10 の原則
  http://technet.microsoft.com/en-us/library/cc512589.aspx (英語情報)
- MS08-067 に関する SVRD のブログ:
  http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx (英語情報)
パスワード:
- 堅牢なパスワードポリシーを作成する
  http://technet.microsoft.com/en-us/library/cc736605.aspx (英語情報)
- Windows Server 2003 セキュリティガイド
  http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/w2003hg/s3sgch03.mspx#E4D
- パスワード強度の簡易チェック
  https://www.microsoft.com/japan/protect/yourself/password/checker.mspx
- 強力なパスワード : その作り方と使い方
  https://www.microsoft.com/japan/protect/yourself/password/create.mspx
リムーバブルメディア:
- Windows Vista セキュリティガイド | 第 3 章 : 機密性の高いデータの保護 | デバイス管理:
  http://technet.microsoft.com/ja-jp/library/bb629455.aspx#4
- Windows で強制"無効"に自動実行レジストリキーを修正する方法
  http://support.microsoft.com/kb/953252
ウイルス対策:
- Encyclopedia: Win32/Conficker.B (英語情報)
  http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32%2fConficker.B
- Encyclopedia: Win32/Conficker.B (抄訳)
  http://blogs.technet.com/jpsecurity/archive/2009/01/14/3181781.aspx
- Win32/Conficker.B ワームに関するウイルス対策情報
  http://support.microsoft.com/kb/962007
MSRT:

悪意のあるソフトウェアの削除ツール:
http://support.microsoft.com/?kbid=890830
企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開:
http://support.microsoft.com/kb/891716

2009年1月のワンポイントセキュリティ

JSECTEAM — Wed, 14 Jan 2009 11:48:00 GMT

小野寺です。

2009年1月のワンポイントセキュリティを公開しました。

2009年1月のワンポイントセキュリティ情報は、過去のワンポイントセキュリティ情報のサイトより、フルサイズ版・縮小版ビデオや音声版ダウンロードファイルでご利用可能です。

最新のワンポイントセキュリティ情報は、今月のワンポイントセキュリティ情報からご視聴いただけます。

2009年1月のセキュリティリリース & Conficker (Downadup)の削除に対応したMSRT

JSECTEAM — Tue, 13 Jan 2009 19:07:00 GMT

小野寺です

今年最初のセキュリティリリースは、事前通知からの変更はなく、予定通り、計 1 件 (緊急 1 件)となります。

セキュリティ情報 (新規):
概要情報、展開に関する情報、およびExploitability Indexは、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jan.mspx

毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、1/14の午後に以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS09-001 (SMB):
特別に細工されたSMBパケットを受信する事で、認証を必要とせずに、リモートでコードが実行される可能性があります。
本来であれば、この脆弱性は、非常に危険度の高いもとなり、昨年10月に緊急リリースした MS08-067 と比べて危険度がどの程度なのか気になるところだと思います。現時点で、Microsoft社内の脆弱性分析を専門に行っているSWIの分析では、脆弱性を悪用した攻撃をおこなっても、「サービス拒否」の状態にしかなず、実際にコードが動作する攻撃コードを作成する事は非常に難しいと考えています。
しかし、脆弱性として理論的にコード実行が可能ですので、緊急と評価しており、実効性のあるコードが発見悪用される前にセキュリティ更新プログラムを適用する事を推奨します。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Banload および MS08-067 を悪用する Conficker に対応しています。
すでに、報道にも有る通り、MS08-067の適用が(たぶん、事情により)行えなかった企業環境で、幾つか感染事例が確認されています。MS08-067が適用されていない、企業ネットワーク内で感染PCが一台でもあれば、ネットワークを通じて感染が広がりやすいネットワーク感染型のワームということもあり、今回MSRTでも、Confickerに対応する事としました。

また、この Conficker は、MS08-067 の脆弱性だけだはなく、「脆弱なパスワードが設定された管理者アカウントへのログオン試行」や、「マップされたドライブ(リムーバブルドライブなど)に対する自動再生ファイルの設置」等の感染方法も併用するため、脆弱性とは別に、一般的なウイルス対策にの隙をついても感染を広げます。
技術的な詳細については、このブログの Conficker.B に記載してあります。

さて、MSRT を企業内で活用する場合、WSUS 等が導入されている場合は、自動更新で配信されるため非常に容易に利用可能です。しかし、そのような環境ではない場合は、以下のサポート技術情報を参考に、使用する事が可能です。

企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開
http://support.microsoft.com/kb/891716/

悪意のあるソフトウェアの削除ツールの入手方法自体は、以下のサイトをご覧ください。
http://www.microsoft.com/japan/security/malwareremove/default.mspx

Conficker.B

JSECTEAM — Tue, 13 Jan 2009 18:55:00 GMT

Conficker.B の新亜種 Conficker.B の詳細については、MMPC (Microsoft Malware Protection Center) に掲載していますが、現状日本語情報が無いため、こちらにAnalysisの抄訳を掲載しておきます。
原典は、http://www.microsoft.com/security/portal/Entry.aspx?name=Worm%3aWin32%2fConficker.B となります。

技術的な情報

Worm:Win32/Conficker.B は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上で別のコンピューターを感染させるワームです。

ファイル共有を有効にしている場合、この脆弱性が悪用され、リモートでコードが実行される可能性があります。また、リムーバブルドライブで蔓延し、管理者パスワードを脆弱にする場合があります。いくつかの重要なシステムサービスやセキュリティ製品が無効になります。

感染

Worm:Win32/Conficker.B は、Windows のシステムフォルダーに <random>.dll の名を使用し、それ自身を隠し DLL ファイルとしてコピーします。悪用に失敗すると、次のフォルダーに同じパラメーターでそれ自身をコピーするよう試行します。

%ProgramFiles%\Internet Explorer
%ProgramFiles%\Movie Maker

次のレジストリエントリを作成して、Windows が起動した際に、ドロップされたコピーを常に実行させます。

値の追加: "<random string>"
データ: "rundll32.exe <system folder>\<malware file name>.dll,<malware parameters>"
サブキー: HKCU\Software\Microsoft\Windows\CurrentVersion\Run

また、システムファイル svchost.exe が netsvcs グループを読み込む時に、起動しているサービスとしてそれ自身をロードします。

さらに、次のキーでそれ自身を登録して、偽のサービスとしてロードする可能性があります:

HKLM\SYSTEM\CurrentControlSet\Services

次の文字列から 2 種類を組み合わせて作成した表示名を使用する可能性があります:

Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows

また、表示名を作成するため、文字をランダムに組み合わせる可能性があります。

蔓延方法

脆弱なパスワードが含まれている共有ネットワークを悪用する

Worm:Win32/Conficker.B は、脆弱な ADMIN$ の共有パスワードが含まれているネットワーク内のマシンを感染させようとします。次のパスワードを使用し、このようなシステムへ管理者ログインを試行します。

123
1234
12345
123456
1234567
12345678
123456789
1234567890
123123
12321
123321
123abc
123qwe
123asd
1234abcd
1234qwer
1q2w3e
a1b2c3
admin
Admin
administrator
nimda
qwewq
qweewq
qwerty
qweasd
asdsa
asddsa
asdzxc
asdfgh
qweasdzxc
q1w2e3
qazwsx
qazwsxedc
zxcxz
zxccxz
zxcvb
zxcvbn
passwd
password
Password
login
Login
pass
mypass
mypassword
adminadmin
root
rootroot
test
testtest
temp
temptemp
foofoo
foobar
default
password1
password12
password123
admin1
admin12
admin123
pass1
pass12
pass123
root123
pw123
abc123
qwe123
test123
temp123
mypc123
home123
work123
boss123
love123
sample
example
internet
Internet
nopass
nopassword
nothing
ihavenopass
temporary
manager
business
oracle
lotus
database
backup
owner
computer
server
secret
super
share
superuser
supervisor
office
shadow
system
public
secure
security
desktop
changeme
codename
codeword
nobody
cluster
customer
exchange
explorer
campus
money
access
domain
letmein
letitbe
anything
unknown
monitor
windows
files
academia
account
student
freedom
forever
cookie
coffee
market
private
games
killer
controller
intranet
work
home
job
foo
web
file
sql
aaa
aaaa
aaaaa
qqq
qqqq
qqqqq
xxx
xxxx
xxxxx
zzz
zzzz
zzzzz
fuck
12
21
321
4321
54321
654321
7654321
87654321
987654321
0987654321
0
00
000
0000
00000
00000
0000000
00000000
1
11
111
1111
11111
111111
1111111
11111111
2
22
222
2222
22222
222222
2222222
22222222
3
33
333
3333
33333
333333
3333333
33333333
4
44
444
4444
44444
444444
4444444
44444444
5
55
555
5555
55555
555555
5555555
55555555
6
66
666
6666
66666
666666
6666666
66666666
7
77
777
7777
77777
777777
7777777
77777777
8
88
888
8888
88888
888888
8888888
88888888
9
99
999
9999
99999
999999
9999999
99999999

Win32/Conficker.B がマシンへのログオンに成功した場合、アクセス可能な admin の共有に、ADMIN$\System32\<random letters>.dll としてそれ自身をコピーします。このワームはリモートでジョブスケジュールを作成 (コマンド - “rundll32.exe <malware file name>.dll,<malware parameters>")、コピーを有効にします。

マップされたドライブ

Worm:Win32/Conficker.B は、<random> ファイル名を使用して、すべてのマップされたドライブにそれ自身をコピーします。このワームはマップされたドライブのルートに 'RECYCLER' という名称のフォルダーを作成します。 Windows XP またはそれ以前のバージョンでは、フォルダー "RECYCLER" は "Recycle Bin" と示されます。次に、このワームは次のようにそれ自身をコピーします:

<drive:>\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\<random letters>.dll

%d の部分は文字がランダムに選択されます。このワームは関連の autorun.inf ファイルをドロップするので、ドライブのアクセスおよび自動再生機能が有効になった場合、自動でワームのコピーが実行されます。

MS08-067 HTTP 'コール バック'

システムで蔓延する Worm:Win32/Conficker.B について、Windows Server サービス (SVCHOST.EXE) の脆弱性に対してセキュリティ更新プログラムを適用しておらず、脆弱性が悪用された場合、このワームが標的のコンピューターに侵入し、1024 から 10000 の間のランダムポートを開き、HTTP プロトコルを介してホストコンピューターからワームのコピーをダウンロードします。この脆弱性に関する説明は、Microsoft Security Bulletin MS08-067 をご覧ください。

ペイロード

システムの構成を変更する

Worm:Win32/Conficker.B はシステム構成を変更するので、ユーザーは隠しファイルを表示できません。次のレジストリエントリを変更して実行します。

値の追加: "CheckedValue"
データ: "0"
サブキー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

システムの TCP 構成を変更し、多くの同時接続を許可します (0x00FFFFFE は 16 進で、16,777,214 デシマル値です)。

値の追加: "TcpNumConnections"
データ: "0x00FFFFFE"
サブキー: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

このワームは一時ファイルをドロップし、変更を有効にするために TCP/IP を再起動させようとします。このドロップされたファイルは Trojan:WinNT/Conficker.B として検出されました。

サービスの終了および無効化

Worm:Win32/Conficker.B は、次のような重要なシステムサービスをいくつか終了させます。

Windows Update Service
Background Intelligent Transfer Service
Windows Defender
Windows Error Reporting Services

Win32/Conficker.B は Windows Defender 向けのレジストリキーを削除し、システムが起動した際に実行させないようにし、Windows Vista TCP/IP の自己調整を無効にします。

また、次のいずれかの文字列が含まれるモジュール名を持つプロセスが、ネットワークトラフィックまたはデータに送信できなくなります。 (文字列のほとんどがウイルス対策およびセキュリティソフトウェアに関連しているため、署名のアップデートの入手が事実上不可能になり、ユーザーがこれらの文字列を含む URL の Web サイトにアクセスできなくなることに注意してください):

virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate

システムの復元ポイントをリセットする

Win32/Conficker.B は、コンピューターのシステムの復元ポイントをリセットする場合があり、システムの復元を使用するリカバリに失敗する可能性があります。

インターネット接続を確認する

Win32/Conficker.B はシステムがインターネット接続されているかを確認するため、次の Web サイトへの接続を試行します:

aol.com

cnn.com

ebay.com

msn.com

myspace.com

任意のファイルをダウンロードする

システムの日付により、Win32/Conficker.B は、ファイルをダウンロードするため、次のフォーマットのように 2009 年 1 月 1 日付で URL を構築する可能性があります。

http://<pseudo-random generated URL>/search?q=%d

生成された URL は、現在のシステムの日付が基になります。

構築された URL は、次の最上位のドメインのいずれかひとつを使用します:

.cc

.cn

.ws

.com

.net

.org

.info

.biz

構築された URL の例は以下の通りです:

aaovt.com
aasmlhzbpqe.com
addgv.com
ajsxarj.org
apwzjq.ws
aradfkyqv.org
arztiwbeh.cc
baixumxhmks.ws
bfwtjrto.org
bfwvzxd.info
bmaeqlhulq.cc
byiiureq.cn
cbizghsq.cc
cbkenfa.org
ciabjhmosz.cc
cruutiitz.com
ctnlczp.org
ctohyudfbm.cn
dcopyoojw.com
djdgnrbacwt.ws
dmwemynbrmz.org
dofmrfqvis.cn
doxkknuq.org
dozjritemv.info
dyjsialozl.ws
eaieijqcqlv.org
eewxsvtkyn.net
eidqdorgmbr.net
eiqzepxacyb.cn
ejdmzbzzaos.biz
ejmxd.com
ejzrcqqw.net
ekusgwp.cc
eprhdsudnnh.biz
evmwgi.ws
falru.net
fctkztzhyr.org
fdkjan.net
fhfntt.org
fhspuip.biz
fjpzgrf.net
fkzdr.cn
ftjggny.com
fuimrawg.info
ghdokt.cn
glbmkbmdax.biz
gmhkdp.org
gocpopuklm.org
grwemw.biz
gtzaick.cc
gxzlgsoa.info
gypqfjho.info
hduyjkrouop.info
hfgxlzjbfka.biz
hkgzoi.com
hliteqmjyb.net
hmdtv.ws
hoyolhmnzbs.net
hprfux.cc
hqbttlqr.org
hueminaii.org
hvogkfiq.info
ifylodtv.ws
iivsjpfumd.ws
ilksbuv.cn
imuez.biz
izxvu.biz
jaumgubte.biz
jhbeiiizlfk.cn
jrdzx.cc
jshkqnnkeao.biz
judhei.com
jxfiysai.cc
jzoowlbehqn.info
karhhse.com
kbyjkjkbb.info
kjsxokxg.org
krudjhvk.org
kuiwtbfa.org
lauowjef.cn
lhirjymcod.net
liugwg.net
lksvlouw.ws
llgkuclk.info
lnpsesbcm.cn
lssvxqkqfmf.org
lygskbx.cc
mafwkeat.cn
mgqrrsxhnj.com
mhklpsbuh.cc
mknuzwq.cc
mqjkzbov.net
myfhc.com
navjrj.org
nbpykcdsoms.com
ncbeaucjxd.org
npfxmztnaw.cn
nuiptipwjj.cc
nvpmfnlsh.ws
oagwongs.ws
odvsz.net
okkpuzqck.ws
oqolfrjq.cn
orduhippw.cn
orpngykld.com
orxfq.ws
othobnrx.org
otnqqaclsgx.info
otukeesevg.biz
pbfhhhvzkp.cc
pbpigz.cn
pcnpxbg.cc
pdfrbmxh.biz
pfdthjxs.cc
phaems.cc
phetxwmjqsj.cc
pmanbkyshj.ws
pnjlx.cc
ppzwqcdc.cc
psabcdq.cc
ptdlwsi.cn
pvowgkgjmu.biz
pwsjbdkdewv.info
qbuic.com
qdteltj.org
qeotxrp.com
qfeqsagbjs.biz
qfhqgciz.org
qfogch.com
qijztpxaxk.cn
qlqrgqordj.ws
qpiivu.cn
qpuowsw.cc
qqbbg.cc
qrrzna.net
qvrgznvvwz.ws
qwdervbq.org
qwnydyb.cc
qzbpqbhzmp.com
rkfdx.org
rpphv.org
rskvraofl.info
ryruatsot.biz
sdkhznqj.info
sezpo.org
sfozmwybm.com
skwmyjq.org
solmpem.com
sqmsrvnjits.cc
stlgegbye.net
syryb.org
tdwrkv.ws
tfpazwas.cc
tigeseo.org
tjyhrcfxuc.cn
tkbyxr.ws
tlmncy.cn
tmlwmvv.ws
tnerivsvs.net
tomxoa.org
trpkeyqapp.net
tyjtkayz.com
uazlwwiv.org
ucgqvyjgpk.cn
uixvflbyoyi.biz
ujawdcoqgs.org
upxva.net
uuvjh.biz
uzugvbnvs.cn
vgmkhtux.ws
vjllpcucnp.cn
vkgxgxto.com
vwiualt.com
waxggypgu.org
wccckyfrtf.net
wfdnvlrcb.org
whjworuc.com
wmiwxt.biz
wohms.biz
wqqfbutswyf.info
wsdlzmpbwhj.net
xiclytmeger.cc
xkjdzqbxg.cn
xldbmaztfu.biz
xlwcv.cn
xqbovbdzjz.info
xwbubjmhinr.info
yfpdcquil.info
yfybk.ws
yhrpqjhp.biz
yoblqeruib.org
yoyze.cc
yshpve.cc
ysrixiwyd.com
ytfvksowgul.org
ywsrtetv.org
yzymygez.biz
zcwjkxynr.com
zfgufbxi.net
zkimm.info
zmoeuxuh.ws
zokxy.net
zqrsbqzhh.cc
zttykt.info
zutykstmrxq.ws

システムの日付が 2009 年 1 月 1 日またはそれ以降であるかを確認します。また、次の Web サイトについて日付を確認しますが、おそらく検証のためであると考えられます。

baidu.com
google.com
yahoo.com
msn.com
ask.com
w3.org

日本のセキュリティチーム (Japan Security Team) : Conficker

セキュリティ インテリジェンス レポート 第7版(2009年上半期)

無償マルウェア対策ソフト: Microsoft Security Essentials (Morro)

セキュリティ インテリジェンス レポート 第6版(2008年下半期)

なにもなし

2009年3月のセキュリティ情報

Conficker.C (Downadup)

自動再生 (Autorun) & Excel 0-day

2009年2月のセキュリティ情報

ISP視点のセキュリティ

Conficker(Downadup)ワームに関するまとめ

2009年1月のワンポイントセキュリティ

2009年1月のセキュリティリリース & Conficker (Downadup)の削除に対応したMSRT

Conficker.B

セキュリティインテリジェンスレポート第7版(2009年上半期)

セキュリティインテリジェンスレポート第6版(2008年下半期)