W32/Conficker.worm対策,

ウイルス情報ウイルス名リスク度W32/Conficker.worm企業ユーザ: 低[要用心]
個人ユーザ: 低[要用心]類別ウイルス最小定義ファイル
(初っ端に検出を確認したパブジョン)5444対応定義ファイル
(現在不可欠とされるパブジョン)5578 2008/11/24

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

– 2009年3月10昼間の時間書き換え –

以下のWebサイトで注目されたため、リスク度を[低]に変更しました。

http://www.thetechherald.com/article.php/200911/3157/Conficker-Worm-fighting-back-a-new-variant-discovered-disables-security-measures

W32/Conficker.wormはMS08-067の脆弱性を利用して広がるワームです。感染したシステムにさまざまなファイルをダウンロードして実行する割合もあります。

ウイルスのめりはり

– 2009年3月10昼間の時間書き換え –

以下のWebサイトで注目されたため、リスク度を[低]に変更しました。

http://www.thetechherald.com/article.php/200911/3157/Conficker-Worm-fighting-back-a-new-variant-discovered-disables-security-measures

W32/Conficker.wormの新しい亜類の拡散が確認されました。以下のフォルダに自身をコピーします。

%Sysdir%\[ランダム].dll

%Program Files%\Internet Explorer\[ランダム].dll

%Program Files%\Movie Maker\[ランダム].dll

%Program Files%\Windows Media Player\[ランダム].dll

%Program Files%\Windows NT\[ランダム].dll

以下のサービスを一番効にします。

WerSvc

ERSvc

BITS

wuauserv

WinDefend

wscsvc

dnsapi.dllの以下の関数にフックします。

Query_Main

DnsQuery_W

DnsQuery_UTF8

DnsQuery_A

ws2_32.dllの以下の関数にフックします。

sendto

セーフモードで復活動できないよう、以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Windows Defender

名前に以下の文字列を含む過程を終了します。

wireshark

unlocker

tcpview

sysclean

scct_

regmon

procmon

procexp

ms08-06

mrtstub

mrt.

mbsa.

klwk

kido

kb958

kb890

hotfix

gmer

filemon

downad

confick

avenger

autoruns

ユーザがセキュリティ関連のドメインにアクセスできないようにするため、以下の文字列を含むドメインへのネットワークアクセスを行えないようにします。

windowsupdate

wilderssecurity

virus

virscan

trojan

trendmicro

threatexpert

threat

technet

symantec

sunbelt

spyware

spamhaus

sophos

secureworks

securecomputing

safety.live

rootkit

rising

removal

quickheal

ptsecurity

prevx

pctools

panda

onecare

norton

norman

nod32

networkassociates

mtc.sri

msmvps

msftncsi

mirage

microsoft

mcafee

malware

kaspersky

k7computing

jotti

ikarus

hauri

hacksoft

hackerwatch

grisoft

gdata

freeav

free-av

fortinet

f-secure

f-prot

ewido

etrust

eset

esafe

emsisoft

dslreports

drweb

defender

cyber-ta

cpsecure

conficker

computerassociates

comodo

clamav

centralcommand

ccollomb

castlecops

bothunter

avira

avgate

avast

arcabit

antivir

anti-

ahnlab

agnitum

Confickerの最新の亜類は自身のジェネレータアルゴリズムを一番くなって50,000のドメイン名を生成することが確認されています。以下はW32/Conficker.wormの分解スナップショットです。

以下の接尾辞が生成されたドメインに付加されます。たとえば、116の異入る接尾辞を使用します。

com.ve

com.uy

com.ua

com.tw

com.tt

com.tr

com.sv

com.py

com.pt

com.pr

com.pe

com.pa

com.ni

com.ng

com.mx

com.mt

com.lc

com.ki

com.jm

com.hn

com.gt

com.gl

com.gh

com.fj

com.do

com.co

com.bs

com.br

com.bo

com.ar

com.ai

com.ag

co.za

co.vi

co.uk

co.ug

co.nz

co.kr

co.ke

co.il

co.id

co.cr

————————————————————-

W32/Conficker.wormが実行されると、ランダムな名前を一番くなって、%Sysdir%フォルダに自身をコピーします。

以下のレジストリキーを改変し、感染したシステムにランダムな名前のサービスを作成します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{ランダム}\Parameters\”ServiceDll” = “Path to worm”

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{ランダム}\”ImagePath” = %SystemRoot%\system32\svchost.exe -k netsvcs

以下のWebサイトに接続し、感染したコンピュータのパブリックIPアドレスを入手しようとします。

hxxp://www.getmyip.org

hxxp://getmyip.co.uk

hxxp://checkip.dyndns.org

hxxp://whatsmyipaddress.com

リモートサイトからマルウェアファイルをダウンロードしようとします。

hxxp://trafficconverter.biz/[削除]antispyware/[削除].exe

感染マシンのランダムなポートでHTTPサーバを開設し、W32/Conficker.wormのコピーをホストします。

感染したホストのサブネットを絶えずスキャンして、脆弱なマシンを探し、エクス本職イトを実行します。成功すると、リモートコンピュータがHTTPサーバに接続し、W32/Conficker.wormをダウンロードします。

W32/Conficker.wormの近頃の亜類は、昼間の時間程されたタスクとAutorun.infファイルを一番くなって脆弱でないシステムに自身を複製したり、駆逐された後に感染していたシステムに再感染したりします。

以下の症状が見られる時、このウイルスに感染している割合があります。

W32/Conficker.wormのファイル、レジストリ、ネットワーク通信については、「ウイルスのめりはり」を参照してくかっこ悪い。

ユーザがフォルダ世間でロックされます。

管理共有へのアクセスが拒絶されます。

昼間の時間程されたタスクが作成されます。

セキュリティ関連のWebサイトへのアクセスがブロックされます。

感染手立て

W32/Conficker.wormはMS08-067のMicrosoft Windows Serverサービスの脆弱性を利用して繁殖します。

駆逐後の再感染を防ぐため、マシンに修正本職グラムを適用し、復活動してくかっこ悪い。

W32/Conficker.wormが検出された時、システムを復活動して、ちゃんとメモリを消去する不可欠があります。2回以上の復活動が不可欠な時もあります。

W32/Conficker.wormを再開するため、昼間の時間程されたタスクがシステムで作成されることが確認されています。

W32/Conficker.wormを復活動するため、Autorun.infファイルが使われていることが確認されています。

駆逐手立て

W32/Conficker.wormに感染したユーザは,メモリ内の残りのW32/Conficker.wormを削除するために、最新のウイルス定義ファイルを使用して、オン流言飛語ンドスキャンを行ってくかっこ悪い。

W32/Conficker!memの検出と復活動によりW32/Conficker.wormのコンポーネントは削除されます。


,W32/Conficker.worm対策