脆弱性 （MS08-067：CVE-2008-4250）を悪用したワームの流通を確認

※この記事にはその後判明した事実に基づく統括情報を公開しております。こちら からご参照ください。

　リージョナルトレンドラボはマイクロソフト株式会社のServerサービスに存在する脆弱性（MS08-067：CVE-2008-4250）や、管理目的共有フォルダ（IPC$）の「NULL セッション接続」を通じてシステムへの侵入を試みる新種ワームの流通を確認しています。

　トレンドマイクロでは、今回確認されたワームを「WORM_DOWNAD.A」（別名：「W32.Downadup」または「Win32/Conficker.A」）の検出名にて、ウイルスパターンファイル 5.673.00以降より、対応が完了済みであることを報告します。

　被害報告は、日本をはじめ、アジア圏、ヨーロッパ諸国、アメリカなど複数の国から寄せられています。

広域情報から被害状況を推定

　解析作業は進行中です。ここでは、これまでに判明した情報について解説いたします。

図1. WORM_DOWNAD.A 感染端末にて採取されたパケットデータ。 IPC$に対するNULLセッションが確認できます。

　初回報告は25日午前中のことでした。MS08-067の脆弱性を悪用するワームの流通について警戒態勢に入りました。「DShield.org」（世界中のファイアウォールからデータを収集、公開している分散型侵入検知システム。「SysAdmin, Audit, Network, Security（SANS）Institute」各研究所が共同で運営）を確認したところ、その情報を裏付ける傾向が見て取れます。TCP 445トラフィックの急増が確認できます。

図2. 2008年10月27日から11月26日までのTCP 445通信の推移（DShield.org より引用）

　リージョナルトレンドラボでは国内動向の把握を急ぎました。社内の監視システム、お客様からのお問い合わせ情報を整理しつつ、広域情報を得る為、警察庁 @policeにて公開されている「インターネット定点観測」などの定点観測システムの動向に注目しました。

お客様から寄せられた被害状況

　時間の経過とともにお客様からの声が寄せられてきます。「社内でTCP 445パケットが飛び交っている。」、「System Information Collector：SICツールで調査したところ「PAK_GENERIC.001」と警告される不審なファイルが見つかる。」次第にワーム攻撃の詳細が明らかとなっていきます。

まずはネットワーク接続から状況把握

　ウイルスインシデントが発生した際、我々は特にネットワーク関連の振る舞いに注目します。これは、被害が第三者に及ぶ可能性、新たなウイルス（新種/亜種）を呼び込み被害が拡大する可能性を想定しての優先確認事項です。

　「WORM_DOWNAD.A」についても次の外部接続振る舞いが見られることを特定しました。解析担当者は直ちに現場で調査にあたっているエンジニアに対し、これら接続振る舞いを水際（ゲートウェイ層）でブロックできるよう、ブラックリストの作成について指示を行いました。

http://{BLOCKED}converter.biz/4vir/antispyware/loadadv.exe

図3.「WORM_DOWNAD.A」の発症により接続されるサイト

　もちろん、こうした情報は「Webレピュテーション」サービスのデータベースへ直ちに反映され、サービス利用者は意識することなくブロックが行われます。今回のケースでは、「Disease_Vector」とレーティングされ、「loadadv.exe」のダウンロードがブロックされます。

　ワームの外部接続振る舞いの分析により、新たな事実も判明しています。感染コンピュータのパブリックIPアドレスを取得するため、正規オンラインサービスの利用を試みる振る舞いを特定しています。

http://www.getmyip.org http://getmyip.co.uk http://checkip.dyndns.org

図4. 上記Webサイトへアクセスし、コンピュータのIPアドレスを取得し、ホスト名を変更します。

　外部からの名前解決手段を手に入れたウイルスは、HTTPサーバを立ち上げ、リモートコンピュータへURLの通知を行います。何も知らずに接続にきたリモートコンピュータはウイルスのダウンロードが行われます。この戦略はウイルスを特定サイトからのみダウンロードさせるのではなく、悪用された個々のコンピュータを拡散元とすることができ、攻撃の精度を高めることに繋がっていると推測されます。

http://{感染したコンピュータの外部IPアドレス}:{ランダムなポート番号}/{ランダムな文字列}

図5. 感染コンピュータ上に立ち上げられたHTTPサーバのURL。

システム情報の改変状況を詳しく調査

　外部接続振る舞いの確認を終えたところで、感染コンピュータに対する本格的な調査が開始です。

　感染コンピュータの「サービス」について調査を実施した結果、「NETSVCS」という名前のサービスが確認されます。

　ここまで特定できれば、あとは芋づる式。この確認結果から逆引きし、レジストリの値を確認することで検出すべき対象ファイル（すなわち、ウイルス）が特定できるはずです。

HKEY_LOCAL_MACHINESystemCurrentControlSetServiceskgrduf 　　　　ImagePath = [CACHE]%SystemRoot%system32svchost.exe -k netsvcs HKEY_LOCAL_MACHINESystemCurrentControlSetServiceskgrdufParameters 　　　　ServiceDll = [FLOCK]C:WINDOWSsystem32huqznxjo.dll

図6. 感染コンピュータにて確認されたレジストリの値（SICツールのログより抜粋。[CACHE]、[FLOCK]の接頭辞はSICツールにより付与）青文字はランダムな文字列の一例

　SICツールのログには、[FLOCK]との記録が見られます。これは、ファイルがロックされていることを示しています。ここから、「WORM_DOWNAD.A」が正規の「svchost.exe」に読み込ませ、起動させる戦略を採っていることにすぐに推測つきます。駆除方法を確立すべく、別の感染コンピュータでの確認作業を実施しました。

コンピュータ毎に異なるファイル名、レジストリ値

　別の感染コンピュータに目を向けると、先ほど確認された「huqznxjo.dll」ファイルや「HKEY_LOCAL_MACHINESystemCurrentControlSetServiceskgrduf」の記述が見られないことに気づきます。

　「WORM_DOWNAD.A」は感染コンピュータ毎にランダムなファイル名のDLLファイルを作成し、それを「svchost.exe」を経由して起動させます。

　ファイル名がランダムの場合、管理者は手動削除手順の告知に苦慮することになります。一意もしくは規則性のあるファイル名であれば、バッチファイルを作成することで駆除の半自動化が可能です。しかし、今回の場合はこの手法を採ることは困難と思われます。

　このような場合、有効なのが「WORM_DOWNAD駆除ツール」です。これにより、管理者、利用者にかかる駆除作業の負担を軽減することが期待できます。

更なる詳細解析に向けて

　解析作業はこの時点でも進められています。より詳細な侵入手法、ウイルス感染の先にある攻撃者の意図、こうした点が更なる調査により明らかになってきます。現時点で感染痕跡の無い方も、まずはセキュリティ更新プログラムの適用状況についてご確認ください。

　その上で、「Webレピュテーション」をはじめとするセキュリティ対策製品の機能を有効活用し、リスク回避を行っていくことが望まれます。

関連情報

* 参考情報1. ウイルス駆除ツール「WORM_DOWNAD駆除ツール　使用方法」
* 参考情報2. Trend Micro Security Blog「そのとき何が、「WORM_DOWNAD」ファミリの振り返り」
* 参考情報3. Trend Micro Security Blog「脆弱性 （MS08-067：CVE-2008-4250）を悪用したハッキングツールを確認」
* 参考情報4. Trend Micro Security Blog「Microsoft Server サービスの脆弱性 （MS08-067）を悪用した脅威」