PR

 セキュリティ企業の米シマンテックは2009年3月6日、大きな被害をもたらしているコンピューターウイルス「Downadup(ダウンアドアップ)」の新たな亜種を確認したとして注意を呼びかけた。セキュリティソフトを停止させるなどして、感染パソコンのセキュリティを低下させることが特徴。

 Downadupは、2008年10月24日に緊急公開されたWindowsの脆弱性「MS08-067」を悪用して感染を広げるウイルス。対策ソフトメーカーによって呼び名が異なり、「Conficker(コンフィッカー)」や「DOWNAD(ダウンアド)」などとも呼ばれる。2008年11月に出現し、世界中で感染を広げた。

 2008年12月には、Windowsの脆弱性を悪用する以外の感染手法も備えた亜種が出現。亜種は、ネットワークログオンのパスワードを破って別のパソコンにウイルスをコピーしたり、USBメモリーなどを介して感染拡大したりする。セキュリティ企業によっては、これらの感染機能を備えたウイルスをConficker.BやDownadup.Bなどと呼んでいる。

 さらに、2009年2月には一部の対策ソフトメーカーが、Conficker.B/Downadup.Bの“機能強化版”となる、Conficker.B++あるいはDownadup.B++を確認したと発表している。ただしシマンテックでは、Conficker.B++/Downadup.B++は以前から出回っている亜種の一つであり、各社とも対応済みとコメントしている。

 今回シマンテックが確認したとする「Downadup.C」は、これまで確認されている亜種とは全く異なるという。同社はDownadup.Cを解析している最中で、2009年3月6日時点までに明らかになった内容を、公式ブログなどで公表した。

 それによると、Downadup.Cの一番の特徴は、感染パソコンのセキュリティを低下させること。感染パソコンで動作しているプログラムを調査し、セキュリティ対策ソフトやネットワーク監視ツールなどを見つけるとそれらを停止する。

 セキュリティ関連サイトへのアクセスもブロックする。ウイルスは、DNSサーバーへのリクエスト(クエリー)を監視。対策ソフトメーカーのドメイン名や「windowsupdate」といった文字列を含むリクエストを見つけると、DNSサーバーとの通信を遮断して名前解決を妨害し、それらのサイトへアクセスできないようにする。

 これらの挙動から、Downadup.Cの目的は、それ自体の感染を広げることではないと同社では推測。以前のDownadupに感染しているパソコンに重ねて感染し、そのセキュリティレベルを下げることで、感染済みのDownadupを“延命”させることが目的ではないかとみている。