PR

 今回はWORM_DOWNAD.Aを取り上げる。WORM_DOWNADファミリーはマイクロソフトのServerサービスに存在するぜい弱性(MS08-067:CVE-2008-4250)や,管理目的共有フォルダ(IPC$)の「NULL セッション接続」を通じてシステムへの侵入を試みるタイプの不正プログラムである。WORM_DOWNAD.Aは,2008年11月24日(米国時間)に発見されて以来,急速にその感染を拡げ,2009年3月10日現在全世界で17万弱のコンピュータに被害を及ぼした(図1)。

図1●WORM_DOWNAD.Aの感染報告数(月別推移)
図1●WORM_DOWNAD.Aの感染報告数(月別推移)

 このようにOSのぜい弱性を突いて感染を拡げるネットワークウイルス型のワームは2001年から2005年にかけて多くのネットワーク管理者の頭痛の種となっていた。古くは2001年のNIMDA(ニムダ),2003年のMSBLAST(エムエスブラスト),2004年のSASSER(サッサー),2005年のZOTOB(ゾトブ)などが挙げられ,そのいずれもその年を代表する凶悪な不正プログラムとして知られている。

 今回は,検証環境用に2台のコンピュータを用意した。テスト機にはそれぞれMS08-067のぜい弱性を持つWindows XP SP2をインストールした。続いて,テスト機1上でWORM_DOWNAD.Aを実行した。なお,検証環境からほかのネットワークへ影響を及ぼさないように完全なローカルネットワーク環境で検証を行った(図2)。

図2●今回検証した環境
図2●今回検証した環境
テスト機1からテスト機2へ攻撃コードを送信し,テスト機2がテスト機1に対しダウンロード要求を行う

 WORM_DOWNAD.A実行後にテスト機1のシステム上において,ファイルやレジストリなどいくつかの改変が行われた。まず,システムフォルダ配下にuythduki.dllファイルが作成された。uythduki.dllファイルはWORM_DOWNAD.A自身のコピーで,ランダムな名前で作成される(図3)。

図3●WORM_DOWNAD.Aがシステムフォルダ配下に自身のコピーを作成した
図3●WORM_DOWNAD.Aがシステムフォルダ配下に自身のコピーを作成した

 続いて,WORM_DOWNAD.Aはコンピュータが実行されるたびに自身が起動されるようにレジストリにigwlfcojという名前のサービスを追加した(図4)。

図4●WORM_DOWNAD.Aがレジストリに追加した作成したサービスであるigwlfcoj