不気味に急拡大する「Downadup」ワーム

By kenia on 2009年2月 2日 14:30 | No Comments | No TrackBacks

6年振りといわれる規模のワーム感染拡大がニュースになっている。

「最悪の事態はこれから」? 不気味に急拡大する「Downadup」ワーム

F-Secureは1月16日、同12日から4日間で新たに657万台のPCがDownadupに感染し、累計で897万台(推計)になったと報告した。1月21日には、Panda Security Softwareが「感染率は最低でも5.77%」と発表した。実に、16台に1台の割合である。被害台数は、昨年12月初めの段階では50万台程度とみられていたので、その拡大ぶりが分かるだろう。関係者は「ここ数年で最大」「2003年のBlaster以来」(Pandaなど)と口をそろえる。

1/8の時点で警告が出されていたにもかかわらず、どんどん増えているらしい。
企業内で感染を広げる新種ワーム「Downadup」に注意:ニュース - CNET Japan

エフセキュアは1月8日、「Downadup」と呼ばれる新しいワームについて警告した。「Confiker」とも呼ばれるこのワームは、WindowsベースのPCやサーバに感染するとさまざまな問題を引き起こす。年明け以降、同社にはこのワームの感染ケースがいくつも報告されているという。

 Downadupには複数の感染経路があるが、Windows Server Serviceの脆弱性を悪用した場合、ネットワークパスワードを盗みとり、USBメモリに感染する。このため、Downadupワームが一度企業ネットワークに侵入すると、完全な駆除が難しくなる。なお、この脆弱性はマイクロソフトが提供している最新のパッチを適用することで解決可能だ。

感染手段の詳細はここに載っていた。
日本のセキュリティチーム (Japan Security Team) : Conficker(Downadup)ワームに関するまとめ


  1. MS08-067 を悪用することにより、ネットワークのその他のコンピューターに感染しようとします。 この方法はWindows コンピューターにすべてのセキュリティ更新プログラムが完全に適用されていない環境で、ワームに感染の足がかりを与えます。

  2. ワーム自体を標的となるコンピューターの ADMIN$ 共有 (既定で Windows フォルダーです) に(ワーム自体を)コピーしようとします。 まず、現在ログオンしているユーザーの資格情報を悪用しようとします。この方法は同じユーザー アカウントがネットワークの異なるコンピューターで使用されており、そのアカウントが管理者権限を持っている環境で、特に有効に機能する可能性があります。 これが失敗した場合、異なる方法を試します。標的となるコンピューターのユーザー アカウントの一覧を取得し、各ユーザーと、脆弱なパスワードの一覧 (例: 「1234」、「password」または「student」) を組み合わせて接続しようとします。 これらの組み合わせの 1 つが有効で、そのアカウントが書き込みアクセス許可を持つ場合、ワーム自体を ADMIN$ フォルダーにコピーします。

  3. USB ドライブやその他のポータブル ストレージなどのリムーバル メディアに、ワーム自体をコピーします。 INF ファイルを追加し、リムーバブル メディアが使用された場合、自動再生ダイアログで 1 つの追加オプションを表示します。 下のスクリーン ショットで、"Open folder to view files - 発行元は指定されていません" のオプションが、このワームにより追加されたもので、強調表示されたオプション "フォルダを開いてファイルを表示- エクスプローラ使用" が Windows が提供するものです。 ユーザーが最初のオプションを選択した場合、ワームが実行されます。

USB経由の感染も結構あるということか。
USBのダイアログ偽装は英語に限られてるみたいだけど。
ダイアログ偽装の「USBウイルス」、「実行」を「表示」に見せかける:ITpro
うっかり、はあるだろうな。

警視庁がやられたのも、これらしい。
警視庁システム、ウイルス感染...USB経由? : ニュース・新製品 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)

 同庁によると、22日午後2時ごろ、端末のパソコン数台がウイルスに感染しているのを同庁のコンピューターが検知した。同庁は感染の拡大を防ぐため、都内101の警察署をつなぐオンラインシステムの一部を緊急停止するとともに、ウイルス対策ソフトを配信して駆除作業を実施したが、23日になっても作業は終わらず、さらに同日、数十台のパソコンの感染が判明した。このため、システムに接続しているパソコンで行う車庫証明の発行や免許更新の事務手続きも断続的に停止し、各署の窓口では手作業で対応したという。

 サイバー攻撃など外部からの侵入の恐れは低く、USBメモリーなどをパソコンで使った際に感染した可能性があるとして、同庁で感染経路を調べている。

USBメモリ経由の感染は11月から増えていたとのこと。
USBメモリを経由して感染するウイルスの被害が急増中 - セキュリティ - ZDNet Japan

最近では、大学での感染急増が報告されている。
USBメモリー感染 大学襲う : 連載 : 企画・連載 : ネット&デジタル : YOMIURI ONLINE(読売新聞)  

読売新聞が主な30大学に聞き取り調査したところ、半数近い13大学で500件以上の感染が確認された。大勢の学生がUSBメモリーを持ち込み、共有のパソコンを使うことが多い大学は、その管理の甘さもネックとなって感染の温床に。重要な研究成果が流出する恐れもあるだけに、文部科学省は昨年末、全国の国立大学に文書で注意を呼びかけた。

Categories:

No TrackBacks

TrackBack URL: http://www.matsuyuku.com/cgi-bin/MT/mt-tb.cgi/843

Leave a comment

ロックバンドぐわし
ロックバンドぐわしのホームページ
ライブ写真;ビデオ公開中

Search

About this Entry

This page contains a single entry by kenia published on 2009年2月 2日 14:30.

ザ・コピーライティング―心の琴線にふれる言葉の法則 ジョン・ケープルズ (著) was the previous entry in this blog.

IBMのX-Forceレポート...SQLインジェクションが30倍に増加 is the next entry in this blog.

Find recent content on the main index or look in the archives to find all content.

Categories

月別 Archives

Pages

Powered by Movable Type 4.21-ja

管理人への連絡は、
こちらからどうぞ
問い合わせフォーム