導入
Conficker ( Downup 、 Downandup 、 Kidoとも呼ばれる) は、2008 年 11 月末に出現したコンピュータ ワームです。このワームは、 Windows 2000、Windows XP、Windows Vista、 Windows 7 、Windows Server で使用されるWindows Server サービスの欠陥を悪用します。 2003 および Windows Server 2008。Confickerは主に Windows XP を実行しているマシンにインストールされます。 Microsoft は、このワームが悪用する欠陥を修正するパッチを2008 年 10 月 28 日にリリースしました。Heise Online は、2009 年 1 月 15 日の時点で少なくとも 2,500,000 台のコンピュータに感染したと推定し、一方The Guardian は3,500,000 台の感染コンピュータと推定しました。 2009 年 1 月 16 日、ウイルス対策ソフトウェアベンダーである F-Secure は、Conficker が約 900 万台のコンピュータに感染し、2000 年代で最も広範囲に蔓延した感染症の 1 つとなったと発表しました。このワームは 2009 年 4 月1日に大規模な攻撃を開始すると予想されていました。しかし最終的にこれは観察されませんでした。 [参照。希望]
手術
このワームは、Windows を実行しているコンピュータに自身をインストールすることから始まります。これが動作の必須条件です。これを行うために、主に svchost.exe の欠陥を悪用します。ただし、感染したリムーバブル デバイス (下記を参照) から、統合辞書を介してユーザーのパスワードを解読することによるローカル ネットワーク経由の感染まで、さまざまな方法で感染する可能性があります。逆に、このワームは、重要なパッチの対象となった既知の欠陥からカモフラージュ手法に至るまで、いつでも新しいものを悪用しません。特別なことは何もありません。ルートキットはなく、すでに使用されている手法のみです。 (おそらく、アップデートの MD6 シグネチャを除いて、Conficker はStorm Wormのように「クラッキング可能」ではなく、しかも最新の状態になっています)。
Conficker を PC にインストールすると、Windows Update、Windows セキュリティ センター、 Windows Defender 、 Windows エラー報告などの特定のシステム機能が無効になります。バージョン B 以降、Windows Update や、更新プログラムを公開して検出できるようにする他の多くのウイルス対策サイトなど、特定のサイトへのアクセスを阻止するなどして、自身を保護しようとしています。次に、複数の擬似ランダム サーバーへの接続を試み、そこから追加の命令を受け取り、個人情報を増殖させ、収集し、追加のマルウェアをダウンロードして被害者のコンピュータにインストールします。 C バージョン以降、このウイルスには、 Storm Worm がすでに行っていたのと同じように、ピアツーピアモジュールもあり、自身を更新することができます。このワームは、 svchost.exe、explorer.exe、 services.exeなどの特定の重要な Windows プロセスにも感染します。
破壊ツールは Microsoft およびSymantec のサイトで入手できます。ウイルスは AutoRun をトリガーする USB デバイス (USB フラッシュ ドライブなど) を介して拡散する可能性があるため、Windows レジストリを編集するなどして外部メディアのこの機能を無効にすることをお勧めします。
F-Secure によると…: 「ネットワーク パスワードを推測し、USB キーを感染させることにより、[…]ネットワーク ユーザー アカウントのロックが、感染したコンピュータで発生する主な問題の 1 つになるでしょう。 ] ネットワーク パスワードを学習しようとする、ワームは、ユーザーが間違ったパスワードを複数回入力した場合と同様に、自動ロックをトリガーします。このワームがマシンに感染すると、非常に積極的に自らを保護します。マシンの再起動プロセスの非常に早い段階で実行されるように設定されます。また、ワームのファイルとレジストリ キーへのアクセス権を付与し、ユーザーがそれらを削除したり変更したりできないようにします。
その手口についての考察
このワームは、いわゆる MS08-067 欠陥に対するセキュリティ パッチの公開後に出現しましたが、そのセキュリティ欠陥を悪用することに成功しました。これは、問題のパッチは Windows アップデートを実行した場合にのみインストールされないという事実によって説明されます。 。これは(他のウイルスがそうであったように)アップデートの重要性を強調しています。残念ながら、自社のソフトウェアの互換性の理由から、アップデートを行う余裕がない企業もあります。そのため、特にリムーバブル メディアを介した送信に対して非常に脆弱になります (通常、このような企業は「閉じた」ネットワークで業務を行っています)。
Conficker は、インストールされると、相手の防御を「無効化」することで自身を保護することから始まり、その後、更新システムを通じて進化しようとします。ただし、それ自体はスケーラブルではありません。変更することはできませんが、その一方で、更新システムを備えています。したがって、バージョン D まではそれが動作していたので、単に自分自身をインストールして更新しているだけであると考えるかもしれません。バージョン E 以降では、自身をアンインストールする前にWaledacスパムボットとSpy-Protect 2009スケアウェアをインストールしようとするため、これは残念ながら間違いです。
したがって、Conficker がウイルスというよりもボットのように動作するとしても、依然としてシステムを侵害するため、その危険性がなくなるわけではありません。そして、その結果を考えると、それは良い前兆ではありません。
また、エイズとの類似点を描くこともできます。「ウイルス」は自己免疫の働きを妨げることで自分自身を守りますが、この欠陥を利用して被害者を仕留めるのは他のウイルスです。
