• オンライン購入
  1. /
  2. セキュリティレスポンス/
  3. W32.Downadup
  4. W32.Downadup
  • ブックマーク

W32.Downadup

危険度2: 低

発見日:
2008 年 11 月 21 日
更新日:
2013 年 7 月 11 日 8:41:25 AM
別名:
Win32/Conficker.A [Computer Associates], W32/Downadup.A [F-Secure], Conficker.A [Panda Software], Net-Worm.Win32.Kido.bt [Kaspersky], WORM_DOWNAD.AP [Trend], W32/Conficker [Norman]
種別:
Worm
感染サイズ:
不定
影響を受けるシステム:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
CVE 識別番号:
CVE-2008-4250
1. 防御と回避
1.1 ユーザーの対処と予防策
1.2 オペレーティングシステムとソフトウェアへのパッチの適用
1.3 ネットワーク共有
2. 感染方法
2.1 リモートから悪用可能な脆弱性
2.2 リムーバブルドライブ
2.3 ネットワーク共有
2.4 ユニバーサルプラグアンドプレイ
2.5 ピアツーピア形式のペイロードの配布
3. 機能
3.1 インストール
3.2 システムの変更
3.3 ネットワーク関連操作
3.4 追加の機能
4. 追加情報



1. 防御と回避
この脅威によるリスクを回避または最小限にするために、次のアクションを実行してください。


1.1 ユーザーの対処と予防策
Downadup は、自動実行機能を使用して拡散します。これは、ドライブがアクセスされたときに自動的に実行可能ファイルが実行されるようにする Windows の機能の 1 つです。このワームは、リムーバブルドライブに、自分自身と autorun.inf という名前の設定ファイルをコピーします。autorun.inf はシンプルなテキストファイルで、ファイルの表示方法と実行のオプションを指定する情報が含まれています。これは、ドライブがコンピュータに挿入されたときにこのワームが拡散することを意味します。

この記事 (英語) を参照しこの機能を無効にして、リムーバブルデバイスがコンピュータに挿入されたときに実行されないようにしておくことをお勧めします。また、最新バージョンの Windows や特定の更新プログラムを適用したシステムでは、デフォルトで非光学式リムーバブルドライブの自動実行機能が無効になっていることに注意してください。

リムーバブルドライブは、使用しないときは切断し、書き込みアクセスが不要なときは、読み取り専用モードのオプションを利用できる場合はそれを有効にします。


1.2 オペレーティングシステムとソフトウェアへのパッチの適用
オペレーティングシステムとインストール済みのソフトウェアに間違いなくパッチが適用されていて、ウイルス対策ソフトウェアおよびファイアウォールソフトウェアが最新の状態で動作可能であることを確認してください。可能であれば自動更新を有効にし、最新のパッチや更新プログラムが利用可能になったときにコンピュータが受信できるようにしておきます。

この脅威は、特定の脆弱性を悪用して拡散することが確認されています。次の更新プログラムを適用することで、コンピュータに対するリスクを軽減できます。

マイクロソフトセキュリティ情報 MS08-067


1.3 ネットワーク共有
この脅威は、共有を利用してネットワーク内で拡散することも確認されています。次のような対応により、この脅威からコンピュータを保護することができます。
  • すべてのネットワーク共有が、必要な場合のみ有効になっていることを確認します。
  • 強力なパスワードを使用して、共有フォルダとアカウントを保護します。強固なパスワードには、8 文字以上の文字を使います。数字、大文字と小文字の英字、1 つ以上の記号を組み合わせて使用します。日常的に使われる単語は、辞書攻撃によって容易に解読される可能性があるため、使用しないようにします。



2. 感染方法
W32.Downadup は、近年最も大量に発生したワームで、最初の亜種は 50 万台以上のコンピュータに急速に拡散しました。


2.1 リモートから悪用可能な脆弱性
このワームは、主な感染手段として RPC (Remote Procedure call) のエクスプロイトを使用します。このエクスプロイトは、「Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874)」(英語) に対応した更新プログラムを適用していないコンピュータに対してのみ有効で、TCP ポート 445 をターゲットにしてこの問題を悪用します。悪用に成功すると、このワームはランダムなポートを使って侵入先のコンピュータに HTTP サーバーを作成します。次にその例を示します。
http://[感染したコンピュータの外部 IP アドレス]:[ランダムなポート]/[ランダムな文字列]

続いてこのワームは、自身のペイロードの一部としてこの URL をリモートコンピュータに送信します。悪用が成功した場合、リモートコンピュータはこの URL に接続して、このワームをダウンロードします。

また、この脆弱性を悪用するには、オペレーティングシステムのバージョン (Windows XP、Windows 2003 など) とターゲットコンピュータの言語に関する知識が必要です。



この脅威は、SMB Session Setup 要求を送信してリモートホストのフィンガープリントを採取することにより、リモートホストが実行している Windows のバージョンを特定します。続いて、IP Geolocation を使って言語を特定します。Downadup は、リモートコンピュータの IP アドレスを Geolocation 情報で調べ、IP アドレスを国に対応させ、国を特定の言語にマッピングさせます。Downadup の Geolocation データは、中国とアルジェリアなどの特定の国に対してより有効であるようです。

Windows の不正コピーを使用している人々は、マイクロソフトの自動更新を無効にしている可能性が高く、それらのユーザーの多くが、MS08-067 (コンピュータへの感染を拡大する「Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability」に対する更新プログラム) などの重要な更新プログラムを手動で更新している可能性は低いと考えられます。

ただし、IP ロケーションを特定するために、一般に利用可能な GeoIP データファイルに依存していたことが、成功の限定要因となりました。GeoIP サービスプロバイダが、ワームによって呼び出されるロケーションからそのファイルを削除すると、感染済みのローカルネットワークの拡散能力が低下し、急速な拡散が困難になりました。



この問題を回避するために、Downadup の作成者は GeoIP データの欠如にも対応する新しい亜種 W32.Downadup.B を作成しました。さらに、このワームは、リムーバブルドライブや脆弱なパスワードで保護されたネットワーク共有に自分自身をコピーする能力を備えていて、ユニバーサルプラグアンドプレイを利用してルーターやゲートウェイを通過します。


2.2 リムーバブルドライブ
Downadup は、リムーバブルドライブにランダムなファイル名で自分自身をコピーし、autorun.inf も同じドライブにコピーして、そのドライブがコンピュータに挿入されるたびに自分自身が実行されるようにします。また、ソーシャルエンジニアリング手法を用いてユーザーにファイルを実行させようとします。このマルウェアの作成者は、実行可能ワームファイルを無害なフォルダのように見せかけます。疑いを持たないユーザーは、それが実行可能ファイルではなくフォルダであると思い込み、そのフォルダのアイコンをダブルクリックします。



リムーバブルドライブをコンピュータに挿入したときにポップアップボックスが表示されると、ほとんどのユーザーは、それを注意深く確認することなくダブルクリックします。たとえ、ユーザーがコンピュータに精通していて、ポップアップボックスの内容を慎重に通読したとしても、ユーザーにはフォルダを開いていると思い込ませて、実際はファイルを実行している可能性があります。


2.3 ネットワーク共有
Downadup は、Microsoft Windows コンピュータにデフォルトで用意されている管理用ネットワーク共有 (ADMIN$) を使って、他のコンピュータに自分自身をコピーしようと試みます。まず、ネットワーク上のすべての Windows コンピュータを返す NetServerEnum 要求を作成して、ネットワーク内のすべてのサーバーを列挙します。続いて Downadup は、各コンピュータに感染しようと試みます。

認証には、ローカルでログオン済みのユーザーの資格情報を試します。それに失敗した場合は、Downadup は別のユーザー名とパスワードを試します。

リモートサーバーに、利用可能なすべてのユーザー名を問い合わせます。幸い、Windows XP 以降のシステムでは、デフォルトでこの情報は提供されないように設定されていて、このような場合は、代わりにローカルコンピュータ上のすべてのユーザー名が使用されます。その後このワームは、各ユーザー名とさまざまなパスワードを使ってリモートサーバーに接続しようと試みます。このパスワードには、ユーザー名と同じ文字列、ユーザー名を 2 つ連結した文字列 (例: joesmithjoesmith)、ユーザー名を逆に並べ替えた文字列 (例: htimseoj) などの他、次のような一般的なパスワードが含まれます。
  • 000
  • 0000
  • 00000
  • 0000000
  • 00000000
  • 0987654321
  • 111
  • 1111
  • 11111
  • 111111
  • 1111111
  • 11111111
  • 123
  • 123123
  • 12321
  • 123321
  • 1234
  • 12345
  • 123456
  • 1234567
  • 12345678
  • 123456789
  • 1234567890
  • 1234abcd
  • 1234qwer
  • 123abc
  • 123asd
  • 123qwe
  • 1q2w3e
  • 222
  • 2222
  • 22222
  • 222222
  • 2222222
  • 22222222
  • 321
  • 333
  • 3333
  • 33333
  • 333333
  • 3333333
  • 33333333
  • 4321
  • 444
  • 4444
  • 44444
  • 444444
  • 4444444
  • 44444444
  • 54321
  • 555
  • 5555
  • 55555
  • 555555
  • 5555555
  • 55555555
  • 654321
  • 666
  • 6666
  • 66666
  • 666666
  • 6666666
  • 66666666
  • 7654321
  • 777
  • 7777
  • 77777
  • 777777
  • 7777777
  • 77777777
  • 87654321
  • 888
  • 8888
  • 88888
  • 888888
  • 8888888
  • 88888888
  • 987654321
  • 999
  • 9999
  • 99999
  • 999999
  • 9999999
  • 99999999
  • a1b2c3
  • aaa
  • aaaa
  • aaaaa
  • abc123
  • academia
  • access
  • account
  • Admin
  • admin
  • admin1
  • admin12
  • admin123
  • adminadmin
  • administrator
  • anything
  • asddsa
  • asdfgh
  • asdsa
  • asdzxc
  • backup
  • boss123
  • business
  • campus
  • changeme
  • cluster
  • codename
  • codeword
  • coffee
  • computer
  • controller
  • cookie
  • customer
  • database
  • default
  • desktop
  • domain
  • example
  • exchange
  • explorer
  • file
  • files
  • foo
  • foobar
  • foofoo
  • forever
  • freedom
  • fuck
  • games
  • home
  • home123
  • ihavenopass
  • Internet
  • internet
  • intranet
  • job
  • killer
  • letitbe
  • letmein
  • login
  • Login
  • lotus
  • love123
  • manager
  • market
  • money
  • monitor
  • mypass
  • mypassword
  • mypc123
  • nimda
  • nobody
  • nopass
  • nopassword
  • nothing
  • office
  • oracle
  • owner
  • pass
  • pass1
  • pass12
  • pass123
  • passwd
  • password
  • Password
  • password1
  • password12
  • password123
  • private
  • public
  • pw123
  • q1w2e3
  • qazwsx
  • qazwsxedc
  • qqq
  • qqqq
  • qqqqq
  • qwe123
  • qweasd
  • qweasdzxc
  • qweewq
  • qwerty
  • qwewq
  • root
  • root123
  • rootroot
  • sample
  • secret
  • secure
  • security
  • server
  • shadow
  • share
  • sql
  • student
  • super
  • superuser
  • supervisor
  • system
  • temp
  • temp123
  • temporary
  • temptemp
  • test
  • test123
  • testtest
  • unknown
  • web
  • windows
  • work
  • work123
  • xxx
  • xxxx
  • xxxxx
  • zxccxz
  • zxcvb
  • zxcvbn
  • zxcxz
  • zzz
  • zzzz
  • zzzzz

アカウントのロックアウトの設定によっては、このワームが繰り返し認証を試行して失敗すると、それらのアカウントがロックアウトされる可能性があります。この症状は、Downadup に感染したコンピュータのネットワークで広く報告されました。

認証に成功すると、このワームは共有に次のファイルとして自分自身をコピーします。
[共有名]\ADMIN$\System32\[ランダムなファイル名].dll




2.4 ユニバーサルプラグアンドプレイ
すでに説明したように、Downadup は影響を受けるコンピュータに直接接続し、「Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability」を悪用する RPC エクスプロイトを介して他のコンピュータに感染します。ただし、最近のホームユーザーの多くはルーターや他のファイアウォール、インターネットゲートウェイデバイスを使用しているため、外部コンピュータからの家庭用コンピュータへの接続はデフォルトで阻止され、Downadup の感染も阻止されます。

この問題を回避するために、Downadup はユニバーサルプラグアンドプレイ (UPnP) プロトコルを使用します。UPnP プロトコルは、ホームユーザー環境で使用される一般的なゲートウェイデバイスの多くでデフォルトでサポートされています。Downadup は、Simple Service Discovery Protocol (SSDP) をベースにした、UPnP の検出プロトコルを利用します。この検出プロトコルにより、ネットワーク上のコンピュータは、そのネットワーク上にあるゲートウェイデバイスを見つけることができます。

SSDP 処理の過程で、Downadup は UDP ポート 1900 上のマルチキャストアドレス 239.255.255.250 に M-SEARCH 要求を送信し、応答を待ちます。

M-SEARCH 要求パケットのコンテンツの例を次に示します。

M-SEARCH * HTTP/1.1HOST: 239.255.255.250:1900ST: urn:schemas-upnp-org:device:InternetGatewayDevice:1MAN:''ssdp:discover''MX: 3

ネットワーク上に該当するデバイスが存在する場合は、そのデバイスは、デバイスとデバイスがサポートするサービスに関する情報を提供する追加の URL をメッセージに含めて応答します。デバイスが適切かどうかを確認した後、Downadup は要求を送信して、このデバイスが外部の WAN (Wide Area Network) インターフェースに現在接続されていることを確認します。

次に、そのデバイスに命令を送信して外部 IP アドレスを取得します。最後に、Downadup は新しいポートフォワーディングのエントリを作成します。外部ポート用にはポート 80 を使用しようと試み、内部ポートはランダムに生成します。設定の変更に失敗した場合は、1024 から 10000 までのポート番号でランダム生成される外部ポートで、さらに 2 回試行されます。これに成功すると、このワームのペイロードの配布が促進されます。




2.5 ピアツーピア形式のペイロードの配布
このワームは、非効率的とも考えられるピアツーピア (P2P) のメカニズムを利用して感染したコンピュータ間でファイルを共有します。下に示したプロセス中に、Downadup はメモリ内の RPC の脆弱性にパッチを適用するだけでなく、このパッチを使用して他の Downadup に感染したコンピュータからの悪用の試みを検知します。このワームは受信したシェルコードを分析できるため、それが自分自身のエクスプロイトシェルコードと一致するかどうかを確認します。一致する場合、シェルコードから情報を抽出することで、このワームは HTTP プロトコルを使って感染した他のコンピュータにコネクトバックできるようになります。ただし、ポートはランダムに選択されます。感染した他のコンピュータは、ペイロードファイルから成るデータパケットで応答します。

Downadup は、この方法で複数のペイロードファイルを転送することができます。個々のファイルは暗号化されていて (少なくともデジタル署名済み)、ファイル識別子とタイムスタンプを含むヘッダーが含まれます。ファイル識別子は、そのファイルが感染済みかどうかをチェックしたり、更新が必要かどうかを判断するために利用されます。タイムスタンプは、有効期限として使用され、ファイルがその有効期限を過ぎている場合は破棄されます。ペイロードファイルは頻繁に見直され、有効期限を過ぎたファイルは処分されます。これらのペイロードファイルはレジストリに保存され、他のピアから要求されたときに提供されます。また、侵入先のコンピュータが再起動された場合も保持されます。これらのペイロードファイルは、ディスクに保存して実行することも、メモリに直接ロードすることもできます。そのため、追加のペイロードファイルがディスクを経由することなく実行されることもあります。





3. 機能

注意: 関連する脅威による副次的な影響は、この文書には含まれません。


3.1 インストール
Downadup が実行されると、種類に応じて次のいずれかのファイルを作成します。
  • %Temp%\[ランダムなファイル名].exe
  • %ProgramFiles%\Internet Explorer\[ランダムなファイル名].dll
  • %ProgramFiles%\Movie Maker\[ランダムなファイル名].dll
  • %System%\[ランダムなファイル名].dll
  • %Temp%\[ランダムなファイル名].dll
  • C:\Documents and Settings\All Users\Application Data \[ランダムなファイル名].dll
  • %System%\[ランダムなファイル名].dll
  • %System%\000[ランダムなファイル名].tmp
  • %Temp%\[CLSID 3]\[数字].tmp

注意:
  • [CLSID 3] は、侵入先のコンピュータのシリアル番号から生成されるため変化します。
  • [数字] は、0 から 63 までの 10 進数です。

また、このワームは次のレジストリエントリのいずれかを作成して、Windows が起動されるたびに自分自身が実行されるようにします。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[ランダムな文字列]" = "rundll32.exe [ランダムな DLL ファイル名], [ランダムなパラメータ文字列]"

続いて、次のファイルを投下し、ランダムに名前を付けたサービスドライバとして実行します。
%System%\0[ランダムなファイル名].tmp

このドライバは次のファイルを改ざんして、侵入先のコンピュータ上で利用可能なネットワークの同時接続数を増やします。
%System%\drivers\tcpip.sys

また、このワームは次のレジストリエントリを改ざんして、ネットワーク内でより急速に拡散します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections" = "00FFFFFE"


3.2 システムの変更
この脅威ファミリーのメンバーによって侵害されたコンピュータ上で、次の副次的影響が見つかる可能性があります。


作成されるファイルまたはフォルダ
次の 1 つ以上のファイルが作成されます。
  • %Temp%\[ランダムなファイル名].exe
  • %ProgramFiles%\Internet Explorer\[ランダムなファイル名].dll
  • %ProgramFiles%\Movie Maker\[ランダムなファイル名].dll
  • %System%\[ランダムなファイル名].dll
  • %Temp%\[ランダムなファイル名].dll
  • C:\Documents and Settings\All Users\Application Data \[ランダムなファイル名].dll
  • %System%\[ランダムなファイル名].dll
  • %System%\000[ランダムなファイル名].tmp
  • Temp%\[CLSID 3]\[数字].tmp

注意:
  • [CLSID 3] は、侵入先のコンピュータのシリアル番号から生成されるため変化します。
  • [数字] は、0 から 63 までの 10 進数です。


削除されるファイルまたはフォルダ

なし


変更されるファイルまたはフォルダ
%System%\drivers\tcpip.sys


作成されるレジストリサブキーまたはレジストリエントリ
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[ランダムな文字列]" = "rundll32.exe "[ランダムな DLL ファイル名]", [ランダムなパラメータ文字列]"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[ランダムな文字列]\"ImagePath" = "%System%\svchost.exe -k netsvcs"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[ランダムな文字列]\Parameters\''ServiceDll'' = ''[このワームのパス]''
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Applets\''ds'' = [暗号化された DLL]
  • HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Applets\''ds'' = [暗号化された DLL]
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\''ServiceDll'' = ''[このワームのパス]''
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[ワームにより生成されたサービス名]\Parameters\"ServiceDll" = "[ワームのパス]"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[ワームにより生成されたサービス名]\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 1]
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 1]
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\''[ワード 1][ワード 2]'' = ''[バイナリデータ]''
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\''[ワード 1][ワード 2]'' = ''[バイナリデータ]''
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\''[ワード 1][ワード 2]'' = ''[バイナリデータ]''
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\''[ワード 1][ワード 2]'' = ''[バイナリデータ]''
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\''[ワード 1][ワード 2]'' = ''[バイナリデータ]''
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\[CLSID 2]\''[ワード 1][ワード 2]'' = ''[バイナリデータ]''
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[ワームにより生成されたサービス名]\"Type" = "4"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[ワームにより生成されたサービス名]\"Start" = "4"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[ワームにより生成されたサービス名]\"ErrorControl" = "4"

注意:
  • [CLSID 1] は、侵入先のコンピュータのシリアル番号から生成されるため変化します。
  • [CLSID 2] は、侵入先のコンピュータのシリアル番号から生成されるため変化します。
  • ランダムに選択される [ワード 1] と [ワード 2] のリストについては、W32.Downadup.C を参照してください。
  • 注意: [ワームにより生成されたサービス名] は、次のリストから 2 つの単語を組み合わせたものです。
    • Boot
    • Center
    • Config
    • Driver
    • Helper
    • Image
    • Installer
    • Manager
    • Microsoft
    • Monitor
    • Network
    • Security
    • Server
    • Shell
    • Support
    • System
    • Task
    • Time
    • Universal
    • Update
    • Windows


削除されるレジストリサブキーまたはレジストリエントリ

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Windows Defender"


変更されるレジストリサブキーまたはレジストリエントリ (最終値)
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections" = "00FFFFFE"

3.3 ネットワーク関連操作
この脅威は、次のネットワーク関連操作を実行する可能性があります。


ダウンロード
このワームは、次の形式でドメイン名のリストを生成します。
[生成されたドメイン名].[トップレベルドメイン]

注意:
  • [生成されたドメイン名] は、このワームによって作成されるドメイン名で、毎日変わります。ドメイン名の例は、「W32.Downadup.B」を参照してください。
  • [トップレベルドメイン] は、次のトップレベルドメインを表します。
    • .biz
    • .info
    • .org
    • .net
    • .com
    • .ws
    • .cn
    • .cc

続いてこのワームは、生成されたドメイン名を基に次のリモートロケーションに接続します。
http://[生成されたドメイン名].[トップレベルドメイン]/search?q=%d

その後、上記のリモートロケーションから更新された自分自身のコピーをダウンロードします。

最初の Downadup の亜種は、毎日 250 個のドメインを生成して、命令と更新を受け取りました。この個数では、IT セキュリティ業界によるアクセスのブロックや動作の監視を阻止できないことに気づいた Downadup の作成者は、このゲームを加速させました。

この脅威の後続の亜種 (W32.Downadup.C 以降) は、116 個のドメインサフィックスを使用して、一日当たり 5 万個のドメイン名を生成するアルゴリズムを採用しました。使用される疑似乱数生成 (PRNG) アルゴリズムは、毎日すべての感染したシステムで同じ値となるシード (初期値) に依存します。この初期値は、64 ビットの数学演算で生成され、静的な値と現在の年、月、日を表す数値を使用します。これらの値は、それぞれ、乗数 (M)、除数 (D)、および加数 (A) 定数として使用される 3 つの数字です。PRNG ルーチンは、別の浮動小数点演算を実行する 200 バイトのコードで、2 つ目の内部乗数値 (M2) を使用します。これもまたハードコードされています。

このワームに接続される可能性のあるドメインは判明していましたが、使用される可能性のあるドメイン数が増強されたため、それに対抗するのはより困難になりました。そのような膨大な数のドメインを常時監視したりブロックするのは、非実用的です。


アップロード
なし


その他のネットワーク関連操作
このワームは定期的に次のサイトに接続して現在のインターネット接続の速度をチェックします。
  • myspace.com
  • msn.com
  • ebay.com
  • cnn.com
  • aol.com

また、このワームは次の URL に接続して、侵入先のコンピュータの IP アドレスを取得します。
  • checkip.dyndns.com
  • checkip.dyndns.org
  • www.findmyip.com
  • www.findmyipaddress.com
  • www.ipaddressworld.com
  • www.ipdragon.com
  • www.myipaddress.com
  • www.whatsmyipaddress.com
  • www.getmyip.org
  • getmyip.co.uk

また、次の Web サイトに接続して現在の日付と時刻を取得します。
  • ask.com
  • baidu.com
  • facebook.com
  • google.com
  • imageshack.us
  • rapidshare.com
  • w3.org
  • yahoo.com
  • msn.com
  • aol.com
  • cnn.com
  • ebay.com
  • myspace.com


3.4 その他の機能

DNS ブロック
このワームは、侵入先のコンピュータによる特定のドメインへのアクセスを阻止します。その大半は、有名なセキュリティ Web サイトのドメインです。これは、次の文字列を含むドメインへの DNS 要求を監視して、これらのドメインへのアクセスをブロックして DNS 要求がタイムアウトしたように見せることにより実行されます。
  • activescan
  • adware
  • agnitum
  • ahnlab
  • anti-
  • antivir
  • arcabit
  • avast
  • avg.
  • avgate
  • avira
  • avp.
  • av-sc
  • bdtools
  • bit9.
  • bothunter
  • ca.
  • castlecops
  • ccollomb
  • centralcommand
  • cert.
  • clamav
  • comodo
  • computerassociates
  • confick
  • coresecur
  • cpsecure
  • cyber-ta
  • defender
  • downad
  • doxpara
  • drweb
  • dslreports
  • emsisoft
  • enigma
  • esafe
  • eset
  • etrust
  • ewido
  • fortinet
  • f-prot
  • freeav
  • free-av
  • fsecure
  • f-secure
  • gdata
  • gmer.
  • grisoft
  • hackerwatch
  • hacksoft
  • hauri
  • honey
  • ikarus
  • insecure.
  • iv.cs.uni
  • jotti
  • k7computing
  • kaspersky
  • kav.
  • kido
  • llnw.
  • llnwd.
  • malware
  • mcafee
  • microsoft
  • mirage
  • mitre.
  • msdn.
  • msft.
  • msftncsi
  • ms-mvp
  • msmvps
  • mtc.sri
  • nai.
  • ncircle
  • networkassociates
  • nmap.
  • nod32
  • norman
  • norton
  • onecare
  • panda
  • pctools
  • precisesecurity
  • prevx
  • ptsecurity
  • qualys
  • quickheal
  • removal
  • rising
  • rootkit
  • safety.live
  • sans.
  • secunia
  • securecomputing
  • secureworks
  • snort
  • sophos
  • spamhaus
  • spyware
  • staysafe
  • sunbelt
  • symantec
  • technet
  • tenablese
  • threat
  • threatexpert
  • trendmicro
  • trojan
  • vet.
  • virscan
  • virus
  • wilderssecurity
  • windowsupdate


セキュリティ設定の無効化
この脅威は、次のサービスを無効にします。
  • BITS (バックグラウンドで Windows Update をダウンロードして配布するサービス)
  • ERSvc (マイクロソフトに送信されるエラー報告を作成するサービス)
  • WerSvc (Windows エラー報告サービス)
  • WinDefend (Windows Defender サービス)
  • wscsvc (Windows セキュリティセンターを実行するWindows セキュリティセンターサービス)
  • wuauserv (Windows Update のオンデマンドサービス)

続いて、次のレジストリエントリを削除して、特定のソフトウェアが自動スタートアップを阻止することによって、セキュリティ設定を低下させます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Windows Defender"

その後、次のレジストリサブキーを削除して、Windows セキュリティ警告の通知を無効にします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}


偽のウイルス対策ソフトウェアの配布

最初の Downadup の亜種は、初期のリリース後、ペイロードの配布日が 2008 年 12 月 1 日に設定されていました。このワームは、trafficconverter.biz/4vir/antispyware/loadadv.exe からペイロードファイルをダウンロードしようと試みました。そのサイトが閉鎖されていたため W32.Downadup はペイロードをダウンロードすることはできませんでしたが、trafficconverter.biz サイトの所有者は、感染したコンピュータへのミスリーディングアプリケーション (偽ウイルス対策製品としても知られています) の配布に深く関与していました。

trafficconverter.biz (traffic-converter.biz、または後出の trafficconverter2.biz と同一) は、ミスリーディングアプリケーションのインストールを促進するためのアフィリエイトを採用することを目的としていたため、Downadup が、感染したコンピュータをミスリーディングアプリケーションをホストするサイトに転用して、Downadup の作成者が報酬を得られるようにすることを目的の 1 つとしていたと考えられます。


他のマルウェアの配布
また、Downadup は、ピアツーピア型ボットネットを利用して W32.Waledac を侵入先のコンピュータに配布します。Waledac は多種多様な悪質な操作を実行するため、その配布にはさまざまな動機が考えられますが、Downadup が貸し出し用のボットネットであることを示唆する形跡もあります。


自己削除
W32.Downadup.E は、2009 年 5 月 3 日以降、システムから自分自身を削除します。この亜種は、W32.Downadup.C を配布することだけを目的としているため、その役割を完了した時点で自分自身を削除すると考えられます。



4. 追加情報
この脅威ファミリーに関する追加情報については、次のサイトを参照してください。

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

  • ファイアウォールを利用して、一般に公開されていないサービスへのインターネット経由による接続をすべてブロックします。原則として、明示的に外部に提供したいサービスへの接続を除いては、すべての着信接続を拒否してください。
  • パスワードポリシーを徹底させます。強固なパスワードは、侵害されたコンピュータ上のパスワードファイルの解読を困難にします。これにより、攻撃による被害を回避、または最小限に抑えることができます。
  • コンピュータのユーザーとプログラムには、タスクの実行に必要な最小レベルの権限を付与します。ルートまたは UAC パスワードの入力が要求されたときは、管理者レベルのアクセスを要求するプログラムが正規のアプリケーションであることを確認してください。
  • 自動実行機能を無効にして、ネットワークドライブやリムーバブルドライブ上の実行可能ファイルの自動実行を阻止し、ドライブの接続が不要なときは切断してください。書き込みアクセスが不要な場合は、読み取り専用モードのオプションが利用可能であれば有効にします。
  • ファイル共有が不要な場合は、設定を解除してください。ファイル共有が必要な場合は、ACL とパスワード保護機能を使用してアクセスを制限します。共有フォルダへの匿名アクセスを無効にし、強固なパスワードが設定されたユーザーアカウントにのみ共有フォルダへのアクセスを許可します。
  • 不要なサービスは、停止するか削除します。オペレーティングシステムによって、特に必要のない補助的なサービスがインストールされることがあります。このようなサービスは攻撃手段として悪用される可能性があるため、不要なサービスを削除することによって、攻撃の危険性を軽減できます。
  • ネットワークサービスの脆弱性が悪用されている場合は、修正プログラムを適用するまでそれらのサービスを無効にするか、サービスへのアクセスをブロックしてください。
  • 常に最新の修正プログラムを適用するようにしてください。公開サービスのホストコンピュータや、 HTTP、FTP、メール、DNS サービスなど、ファイアウォール経由でアクセス可能なコンピュータでは特に注意が必要です。
  • .vbs、.bat、.exe、.pif、.scr などの拡張子を持つファイルは、脅威の拡散に頻繁に使用されるため、それらのファイルが添付されたメールをブロックまたは削除するようにメールサーバーを設定します。
  • ネットワークに接続しているコンピュータが感染した場合は、直ちにネットワークから切断して感染拡大を防止します。被害状況を分析し、信頼できるメディアを使って復元します。
  • 予期しない添付ファイルは開かないようにしてください。インターネットからダウンロードしたソフトウェアは、ウイルススキャンを実行して安全であることを確認してから実行します。ブラウザの脆弱性に対応した修正プログラムが適用されていない場合、侵害された Web サイトにアクセスするだけで感染することがあります。
  • 携帯デバイスで Bluetooth が不要な場合は、オフにしてください。必要な場合は、他の Bluetooth デバイスにスキャンされないように、表示属性を「Hidden」に設定します。 デバイスのペアリング機能を使用する必要がある場合は、すべてのデバイスが、接続時にユーザー認証を必要とする「Unauthorized」に設定されていることを確認してください。署名されていない、または未知のソースから送信されたアプリケーションは利用しないでください。
  • この文書で使用されている用語の詳細については、用語解説を参照してください。
記述:Jarrad Shearer
危険性の評価| テクニカルノート| 駆除方法
スパムレポート