シマンテックは、コーポレーションブログにおいて、W32.Downadupの亜種が出現したことを報告している。

W32.Downadupワームとは

まず、W32.Downadupであるが、2008年10月24日にマイクロソフトから公開された脆弱性(MS08-067)を突くワームである(同日のうちに対応するWindows Updateも公開されている)。この脆弱性であるが、Windows Server ServiceのRPC処理機能で、リモートでコードが実行されるというものである。11月21日に、この脆弱性を突くW32.Downadupワームが発見されている。W32.Downadupワームは、TCP445番ポートを使い、エクスプロイトコードを送信する。脆弱性のあるPCは、W32.Downadupワームがコピーされ、さらに不正なプログラムがダウンロードされるというものである。

年末・年始にかけて、非常に多くの企業を中心にその被害が報告されている。個人では、インターネット接続のためのルーターでは閉じられていることが一般的で、被害も少ない。しかし、企業では、ファイル共有などで開いていることが少なくない。また、一方で、Windows Updateに関しても、一定の検証作業が確認されてから、パッチが実施されるという手順を踏む事例もある。このため、個人よりも、脆弱性への対応が遅れがちとなる。そこを突いたのが、W32.Downadupワームといえよう。いかにファイアウォールなどを施しても、社内にW32.Downadupワームに感染したPCを持ち込まれれば、あっという間に感染が拡大する。

新しい亜種W32.Downadup.B、USBメモリを使う新たな拡散方法

今回報告された亜種は、W32.Downadup.Bである。2008年12月30日にその出現が確認された。W32.Downadup.Bは上述の脆弱性を悪用して拡散を図ろうとするだけでなく、USBメモリを経由することである。さらに、安易に推測できる弱いパスワードをクラックしネットワーク内に拡散する。これらの感染手口は、特に新しい手法ではなく、W32.Spybot、W32.Randex、W32.Mytobなどの亜種もほぼ同様の手口を使っている。しかし、このW32.Downadup.Bワームへの対策は、感染方法が多様化したことにより、多くの手間がかかる。まず、W32.Downadup.Bワームの新たな拡散方法であるが、以下のように行われる。

  • ネットワーク上のすべてのドライブ上にautorun.infファイルを作成する。
  • いずれかのドライブがアクセスされたときに脅威を自動的に実行する。
  • 実行された脅威は感染したコンピュータに接続するドライブを監視し、アクセスできるようになったドライブごとにautorun.infファイルを作成する。

このようにして、感染を広げていく。また想定される被害であるが、W32.Downadup.Bワームは、ドメインへのDNS要求に含まれる特定の文字列を監視し、そのドメインへのアクセスをブロックすることにより、ネットワーク要求がタイムアウトになったように見せかける。これにより、感染したPCを使用するユーザーが自分のセキュリティソフトウェアをアップデートしようとしても、アップデートができなくなる危険があるとのことだ。

当然のことながら、新たな亜種に対して、セキュリティソフトウェアがあっても、無防備になりかねない。W32.Downadup.Bワームは、自由に不正なプログラムのダウンロードを行うことが可能となる。そして、W32.Downadup.Bワーム以外の被害が発生する危険性が極めて高くなる。シマンテックでは、現在までにW32.DownadupおよびW32.Downadup.Bの報告を多数受けている。過去60日間における感染マップが図1と図2である。

図1 W32.Downadupの感染マップ

図2 W32.Downadup.Bの感染マップ

いずれも、世界的に広がっていることがわかる。さらに、感染が広がっている国は、PCやインターネットの利用率が高い傾向がある。

W32.Downadup.Bワームの対策は

まずは、MS08-067の脆弱性を放置しないことである。個人ユーザーなどは。インターネット接続環境さえあれば、自動的に対処がなされていると思う。ここで問題となるのは、企業などである。かつて、Blaster(ブラスター)ウイルスがそうであったように、今回もそれに近い状況を呈しつつある。すみやかに脆弱性への対策を行うことである。また、今回の亜種の出現により、一層の対策も求められる。 シマンテックでは、以下の対策を呼びかけている。

  • リムーバブルまたはネットワークドライブ上に存在しうるautorun.infファイルが参照するアプリケーションの実行を制御するための手段を講じること
  • ネットワーク内のコンピュータについて強力なパスワードを使用すること

さらに、このようなリスクに対応するため、自動化されたパッチ管理ソリューションの導入なども検討に値するとしている。 2008年は、オートランが猛威をふるった。その感染手口もUSBメモリのautorun.infを悪用したものである。今回の亜種の出現により、同様の危険性を十二分にはらんでいるといえよう。より、一層の注意が必要になるであろう。