米Symantecは9日(米国時間)、2008年12月30日に出現した亜種「W32.Downadup」に関連した感染報告の増加をうけて、Microsoft Windows ServerサービスのRPC処理機能でリモートコードが実行される脆弱性(BID31874)に対する緊急パッチを早急に適用するよう呼びかけた。
W32.Downadupは、上記の脆弱性にくわえてUSBメモリーなどを経由、または安易に推測できる弱いパスワードにアクセスすることで拡散するワーム。ネットワーク上のすべてのドライブ上にautorun.infファイルを作成して、そのいずれかのドライブがアクセスされたときに脅威を自動的に実行し、感染したコンピュータに接続するドライブを監視して、アクセスできるようになったドライブごとにautorun.infファイルを作成する。
また、ドメインへのDNS要求に含まれる特定の文字列を監視し、そのドメインへのアクセスをブロックすることにより、ネットワーク要求がタイムアウトになったように見せかけることで、感染したコンピュータを使用するユーザーが自分のセキュリティソフトウェアをアップデートしようとしても、アップデートができなくなる恐れがある。
