「WORM_DOWNAD」（ダウンアド）ファミリ発症日：2009年4月1日を控えたセキュリティ対策確認

　明日は4月1日、春の転勤、異動、新入学など大きな変化を迎えようとしている人も数多いのではないでしょうか。今年はサイバー空間も例外では無いようです。予てより悪意ある活動を展開している「WORM_DOWNAD」（ダウンアド、別名：「W32.Downadup」または「Win32/Conficker」）ファミリの亜種「WORM_DOWNAD.KK」が2009年4月1日に発症日を控え、カウントダウンを開始しています。

　様々な憶測が広まっている「WORM_DOWNAD.KK」によるエイプリルフールアタックですが、ネットワークに参加する一人一人が主体的に自衛策を事前に施しておけば、恐るるに足りない脅威です。今回はホワイトボックス解析の結果得られた情報から、「WORM_DOWNAD.AD」との比較を行い、ダウンアドに備えた主体的な自衛策について考えていきます。

「ダウンアド」の特徴

　まず、ダウンアドファミリの特徴についておさらいしておきます。「WORM_DOWNAD」（ダウンアド、別名：「W32.Downadup」または「Win32/Conficker」）は、

• Windowsの「Server サービスの脆弱性により、リモートでコードが実行される」（MS08-067）と呼ばれるセキュリティホール
• ネットワーク
• リムーバブルドライブ

　を利用して感染を広げるウイルスです。ネットワーク越しに広まることから「ネットワークウイルス」に分類されます。コンピュータにセキュリティホールがある場合、インターネットやネットワークにつないだだけでウイルスに感染するおそれのある、感染力の高いウイルスと言えます。

　本ブログでも「系譜から探る深刻度が増した「WORM_DOWNAD」記事にて、ワーム活動機能が強化された「WORM_DOWNAD.AD」の登場により、脅威レベルは第2フェーズといえる段階であることを紹介しました。また、予測される第3フェーズとして、ダウンローダー機能がカギとなることをお伝えしています。

　今回取り上げる亜種「WORM_DOWNAD.KK」は第3フェーズ推移へのカギを握るウイルスであると言えます。

何故この時期が危ないのか

　「WORM_DOWNAD.KK」（別名：「W32.Downadup.KK」、「Win32/Conficker.C」）は、コンピュータの日時が2009年4月1日以降、あるいは、その日付である場合、ダウンロード活動を開始する振る舞いが含まれていることを特定しています。

　補足：日時の確認タイミングは2度用意されています。まずは、コンピュータのシステム時刻より日本時間 4月1日午前0:00、次にUTC（協定世界時）で2009年4月1日となる日本時間 4月1日午前9:00です。

　その時を迎えたとき、「WORM_DOWNAD.KK」はUTC（協定世界時）における現在の日時を元に5万個のドメイン名を生成します。生成したドメイン名に116種のトップレベルドメインにあたる文字列を加え、URLを仕上げます。これにより「WORM_DOWNAD.KK」は、最大5万のランダムなURLを作り出します。

図1 2009年4月1日における「WORM_DOWNAD.KK」の発症フロー

　今回、トレンドマイクロでは作成されるURLのリストについて特別ページをご用意いたしました。こちらも併せてご参照ください。

• WORM_DOWNAD.KK URLs：http://www.trendmicro.co.jp/vinfo/secadvisories/default6.asp?VNAME=WORM_DOWNAD.KK+URLs&Page

　ドメイン生成機能自体は過去の亜種にも見られた振る舞いですが、「WORM_DOWNAD.KK」ではその生成数が他の亜種を凌駕しています。生成されたURLから他のコンピュータに対し追加機能を提供してきています。P2P（ピアツーピア)通信技術を応用した仕組みによって、ダウンロードした追加機能を感染コンピュータ間で共有していくことを可能にしています。

　感染コンピュータ間で共有する機能を有しているため、自衛策を施していないコンピュータがネットワークに接続していることで、感染により攻撃者に荷担することとなります。すなわち、被害者自身が加害者の一人となりうる危険性があります。

　また、攻撃者は防御側の取り組みに対し対抗する為の仕掛けをいくつか用意しています。まずワームは、生成されたURLのうち約500個のURLしか一度に接続しません。実際に接続に行く先を分かりづらくしていると思われます。さらに既に運用されているドメインもターゲットとなっています。ドメインのコリジョンにより、混乱を来すことで隠れ蓑とする戦略を狙っているものと推測されます。

対照表から見る「WORM_DOWNAD.KK」の特徴

　第2フェーズにおける「WORM_DOWNAD.AD」そして、発症日を控えている「WORM_DOWNAD.KK」との対照表を作成しました。特徴を押さえることで必要な自衛策が見えてくるのではないでしょうか。

　機能差ある項目を青文字で表記しています。「WORM_DOWNAD.KK」は必ずしもいいとこ取りとは言えず、「WORM_DOWNAD.A」をベースコードとし、新たな発想で作成された派生品との印象を受けます。

振る舞い	WORM_DOWNAD .AD	WORM_DOWNAD .KK
プロセスの強制終了（*1）	NO	YES
セーフモードのサブキーを削除（*2）	NO	YES
Windows Defender自動起動に関するサブキーを削除	NO	YES
ランダムなドメイン生成能力	250	50,000
ドメイン名に付与するトップレベルドメイン	8	116
ドメイン生成の発症日	2009/01/09	2009/04/01
リムーバブルメディアを介した拡散	YES	NO
セキュリティホールの利用	MS08-067	MS08-067
ドロップされるファイルの名前	＜ランダムなファイル名＞.DLL	＜ランダムなファイル名＞.DLL
自身をシステムのサービスとしてランダムな名前で登録	YES	YES
APIに対するフック機能	YES	YES
セキュリティベンダーサイトへのアクセス阻止	YES	YES
現時刻測定のために、タイムサーバとの接続	YES	YES
SVCHOST.EXE、SERVICES.EXE との関連づけ（*3）	YES	YES
自身のコピーを作成するフォルダ	%Program Files%\Internet Explorer %Program Files%\Movie Maker %Temp% %Application Data% %system dir%	%Program Files%\Internet Explorer %Program Files%\Movie Maker %Program Files%\Windows Media Player %Program Files%\Windows NT
ネットワーク共有を介した拡散	YES	NO
スケジュール化されたタスク「.JOB」による自身の実行	YES	NO
TCPポート445番の利用	YES	YES
標的コンピュータのOS確認	YES	YES
特定サービスの無効化 Background Intelligent Transfer Service (BITS) Windows Error Reporting Service Windows Security Center Service Windows Automatic Update Service	YES	YES
サービスに関するレジストリ権限変更	YES	YES
感染コンピュータのIP/位置測定のために、ウェブサービスへの接続	YES	NO

*1 セキュリティ対策製品に関連する文字列を含むプロセスがシステムに常駐することを確認した場合、そのプロセスを終了します。
*2 レジストリより、セーフモードに関するサブキー「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot」を削除し、セーフモード状態でWindows起動ができないようにします。
*3 レジストリより、サブキー「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost」を使い関連づけ

主体的な自衛策、感染予防策

　我々は過去にもこのような脅威を経験しています。2003年に発生した「WORM_SQLP1434.A」（別名：SQL Slammer）です。2003年1月25日午後2時頃より、世界各地（特に韓国において顕著）のネットワーク上で通信量が急激に増大し、通信速度の低下及びネットワークへの接続が困難になる現象が発生したことが記録されています（経済産業省：世界規模で報告されたネット障害についての総括レポート～Slammerワームによる被害について～）。

　あれから6年、今回もたらされる脅威とはいったい何でしょうか。多くの解析技術者が注目する点です。少なくとも筆者は攻撃者がインフラの破壊を望んでいないと推測しています。昨今の攻撃動向からは攻撃者のモチベーションが金銭獲得に大きな比重が占められていることは明らかです。彼らの闇の事業を継続するにはインフラは維持すべき存在であり、破壊によってもたらされる利益は何も無いと言えます。

　「WORM_SQLP1434.A」被害の際には、日本国内の被害は軽微に押さえることに成功しています。これはパッチ（セキュリティホール）マネージメントをはじめとした高いセキュリティ意識が功を奏した結果であると言われています。今回もインターネットを含むネットワークに参加する一人一人が主体的に自衛策を事前に施しておくことで攻撃者の思惑を断ち切ることは可能であるといえます。

　トレンドマイクロでは、以下の5項目を全てのネットワーク参加者に実施を呼びかけています。

• 最新のセキュリティ更新プログラム（特に「MS08-067」）が適用されているか
• セキュリティ対策ソフト、ウイルスパターンファイルは最新の状態に保たれているか
• アカウントと同一のものなど、容易に推測できる脆弱なパスワードが設定されていないか
• 自身が管理していない、利用が許可されていない外部記憶メディア（USBメモリなど）を利用していないか
• 持ち出していたコンピュータをネットワークに接続する前に、ウイルスの感染有無を確認しているか
  

　もちろん、これら技術的な対策のみならず、もしもの時の連絡体制も確認しておきたいところです。是非、こちらのサポートニュースも併せてご確認ください。

• サポートニュース：「「WORM_DOWNAD」（ダウンアド）ファミリ発症日：2009年4月1日を控えたセキュリティ対策確認に関する注意喚起」
  http://www.trendmicro.co.jp/support/news.asp?id=1235

• WORM_DOWNAD 専用駆除ツール：
  http://jp.trendmicro.com/jp/threat/extermination_tool/downad/
  

　カウントダウン終了まで残りわずかな時間。出来る限りの事前準備を整え、その時を迎えるようお願いいたします。

　

【訂正と追記】

2009/03/31

18:17

時差換算に誤りがありました。UTC（協定世界時）で2009年4月1日となるのは日本時間 4月1日午前9:00です。