Conficker Worm Targets Microsoft Windows Systems:US-CERT Current Activity(情報元のブックマーク数)
US-CERTが出していますが、ConfickerがWindowsシステムを攻撃するとかいううわさが出てきています。
US-CERT is aware of public reports indicating a widespread infection of the Conficker worm, which can infect a Microsoft Windows system from a thumb drive, a network share, or directly across the network if the host is not patched with MS08-067.
http://www.us-cert.gov/current/index.html#conficker_worm_information
The presence of a Conficker infection may be detected if a user is unable to navigate to the following websites:
http://www.symantec.com/norton/theme.jsp?themeid=conficker_worm&inid=us_ghp+link_conficker_worm
Symantecによると、4月1日以降パッチが当たらなくなるということらしい。
On April 1st the Conficker worm will simply start taking more steps to protect itself. After that date, machines infected with the “C” variant of the worm may not be able to get security updates or patches from Microsoft and from many other vendors. The creators of the worm will also start using a communications system that is more difficult for security researchers to interrupt.
ウイルス対策のノートン セキュリティソフト | シマンテック
現在出回っている亜種は、4月1日になると起動してコマンド&コントロールに接続する設定になっており、この日に何が起きるのかセキュリティ業界が注視していた。
4月1日の「一斉起動」が目前、Confickerワームのチェック手法確立 - ITmedia エンタープライズ
Confickerの特徴を調べていたマルウェア対策プロジェクトのHoneynet Projectは3月30日、感染マシンを突き止められる方法が見つかったとして、検出ツールのコンセプト実証コードを公開した。セキュリティソフトメーカー各社が参加するConficker Working Groupとの連携で、このコードが主要ウイルス検出ツールに組み込まれるようになった。
これは危険だ!!!!ググれないウイルス名か。。。
検索エンジンで削除ツールを探す場合は注意が必要。SANS Internet Storm Centerによれば、「Conficker」のキーワードで検索すると、偽ウイルス対策プログラムをインストールさせようとする悪質なリンクが多数表示される。検索結果のリンクを安易にたどるよりも、US-CERTや大手セキュリティ企業のWebサイトを参照した方が賢明だとしている。
4月1日の「一斉起動」が目前、Confickerワームのチェック手法確立 - ITmedia エンタープライズ
大手のセキュリティサイトで入手:4月1日の「一斉起動」が目前、Confickerワームのチェック手法確立 - ITmedia エンタープライズ
Confickerの動き、4月1日にドメイン名を生成して外から繋がるようになる?ってこと?
「WORM_DOWNAD.KK」(別名:「W32.Downadup.KK」、「Win32/Conficker.C」)は、コンピュータの日時が2009年4月1日以降、あるいは、その日付である場合、ダウンロード活動を開始する振る舞いが含まれていることを特定しています。
「WORM_DOWNAD」(ダウンアド)ファミリ発症日:2009年4月1日を控えたセキュリティ対策確認 | トレンドマイクロ セキュリティブログ
補足:日時の確認タイミングは2度用意されています。まずは、コンピュータのシステム時刻より日本時間 4月1日午前0:00、次にUTC(協定世界時)で2009年4月1日となる日本時間 4月1日午前8:00です。
その時を迎えたとき、「WORM_DOWNAD.KK」はUTC(協定世界時)における現在の日時を元に5万個のドメイン名を生成します。生成したドメイン名に116種のトップレベルドメインにあたる文字列を加え、URLを仕上げます。これにより「WORM_DOWNAD.KK」は、最大5万のランダムな URLを作り出します。
それもP2P技術を応用した仕組みで共有とのこと。
「WORM_DOWNAD.KK」ではその生成数が他の亜種を凌駕しています。生成されたURLから他のコンピュータに対し追加機能を提供してきています。P2P(ピアツーピア)通信技術を応用した仕組みによって、ダウンロードした追加機能を感染コンピュータ間で共有していくことを可能にしています。
「WORM_DOWNAD」(ダウンアド)ファミリ発症日:2009年4月1日を控えたセキュリティ対策確認 | トレンドマイクロ セキュリティブログ
感染コンピュータ間で共有する機能を有しているため、自衛策を施していないコンピュータがネットワークに接続していることで、感染により攻撃者に荷担することとなります。すなわち、被害者自身が加害者の一人となりうる危険性があります。
