「Conficker」ワーム、活動を開始--PtoPによるアップデートでペイロードを投下

文:Elinor Mills(CNET News.com) 翻訳校正:編集部2009年04月09日 15時43分

 「Conficker」ワームがついに活動を開始した。トレンドマイクロが米国時間4月8日に明らかにしたところによると、感染したコンピュータ間におけるPtoP経由のやり取りでアップデートが行われるとともに、謎のペイロードが投下されているという。

 トレンドマイクロのセキュリティ教育担当グローバルディレクターであるDavid Perry氏によると、感染しているコンピュータに送り込まれているソフトウェアのコードをリサーチャーらが解析中であるものの、キーロガーか、コンピュータ上の機密情報を盗むための何らかのプログラムではないかと考えられるという。

 トレンドマイクロによると、このソフトウェアは、rootkitの陰に隠れた「.sys」コンポーネントであるようだという。rootkitとは一般に、コンピュータへの侵入を隠蔽するために作られたソフトウェアである。このソフトウェアは厳重に暗号化されており、コードの解析が困難であると、リサーチャーらは述べている。

 TrendLabsのMalware Blogによると、同ワームはコンピュータがインターネットに接続されているかどうかを判断するためにMySpace.comやMSN.com、eBay.com、CNN.com、AOL.comに接続を試み、ホストマシンにおける自らの痕跡をすべて削除してから、5月3日に活動を停止するよう設定されているという。

 トレンドマイクロのアドバンストスレットリサーチャーであるPaul Ferguson氏によると、感染しているコンピュータは、新たなコンポーネントを1度に取得するのではなく、少しずつ取得するようになっているため、そのコンピュータでウェブサイトを閲覧していても気が付かないという。

 Perry氏は「(このワームは)5月3日を過ぎると活動を停止し、複製を作らなくなる」と述べている。しかし同氏は、感染しているコンピュータが遠隔地からコントロールされ、何か他のことをさせられる可能性も残っていると述べている。

 トレンドマイクロのリサーチャーらは7日夜、WindowsのTempフォルダに新しいファイルが作成されており、韓国に存在が確認されているConfickerのPtoPが使用するIPノードから、暗号化された巨大なTCPパケットが送信されていることに気付いた。

 TrendLabsのMalware Blogには、「予想通り、アップデートにはHTTPではなく、Downad/Confickerボットネット用のPtoP通信が使われたと思われる。Conficker/DownadのPtoP通信は現在、非常に活発に行われている!」と書かれている。

 トレンドマイクロのセキュリティリサーチャーであるRik Ferguson氏による別のブログへの投稿によると、新たな伝播機能の追加に加えて、ConfickerはWaledacファミリのマルウェアや、そのStormボットネットに関連があるサーバとも通信を行うという。

 リサーチャーらによると、Confickerワームは、既知のWaledacドメインにアクセスし、暗号化されている他のファイルをダウンロードしようとするという。

 Conficker.Cは、4月1日に活動を開始するようにプログラムされていたにもかかわらず、実際に目立った活動を行うことはなかった。Perry氏によると、300万〜1200万のコンピュータが感染しているという。

 リサーチャーらは当初、Confickerワームの新しい亜種を発見したと考えていたものの、現時点において、これは同ワームの単なる新しいコンポーネントに過ぎないと確信している。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]