TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究のログ

Conficker (まとめ)

【概要】

発見時期 2008年11月初め
対象OS Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 Beta
感染方法 MS08-067(CVE-2008-4250)の脆弱性を利用した感染(オリジナルから)
共有ネットワークフォルダを介した感染(亜種から)
リムーバブルドライブを介した感染(亜種から)
特徴 Domain Generation Algorithm(DGA)を利用して C&Cサーバと通信


【別名】

別名 セキュリティベンダー
Conficker McAfee, Panda,
Downadup Symantec, F-Secure, ClamAV, BitDefender
Downad Trendmicro
Kido Kaspersky
Confi avast!


【辞書】

◆Conficker (Wikipedia)
https://ja.wikipedia.org/wiki/Conficker

◆Conficker Working Group
http://www.confickerworkinggroup.org/wiki/


【情報】

◆Conficker ワーム ウィルスから保護する (Microsoft)
http://www.microsoft.com/ja-jp/security/pc-security/conficker.aspx


【マルウェア情報】

◆W32.Downadup (Symantec)
https://www.symantec.com/ja/jp/security-center/writeup/2008-112203-2408-99

◆CONFICKER (Trendmicro, 2014/03/18)
https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/malware/conficker

◆WORM_DOWNAD.AD (Trendmicro, 2010/11/23)
https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/malware/worm_downad.ad


【ニュース】

◆TCP 445番ポートへのスキャンが増加、MS08-067狙うワームか? (Internet Watch, 2008/11/05 14:55)
http://internet.watch.impress.co.jp/cda/news/2008/11/05/21421.html

◆Windowsの「緊急」脆弱性を突くウイルスが続出、PCを乗っ取られる恐れ (PC online, 2008/11/26)

マイクロソフトなどが相次いで警告、まだのユーザーはすぐにパッチ適用を

http://pc.nikkeibp.co.jp/article/news/20081126/1009949/

◆脆弱性 (MS08-067:CVE-2008-4250)を悪用したワームの流通を確認 (Trendmicro, 2008/11/27)
http://blog.trendmicro.co.jp/archives/2184

◆「MS08-067」攻撃の被害続く、トレンドマイクロが詳細分析 (Internet Watch, 2008/12/25 18:15)
http://internet.watch.impress.co.jp/cda/news/2008/12/25/21974.html

◆Windowsの「緊急」脆弱性を突くウイルスが猛威、数百万台が感染の恐れ (日経XTECH, 2009/01/07 16:25)

シマンテックが調査、感染パソコンの過半数はWindows XPのSP1以前

http://tech.nikkeibp.co.jp/it/article/NEWS/20090107/322372/

◆マイクロソフトの駆除ツール、Windowsの脆弱性を突くウイルスに対応 (日経パソコン, 2009/01/14 18:56)
http://tech.nikkeibp.co.jp/it/article/NEWS/20090114/322850/

◆「MS08-067」の悪用ワーム、世界で350万台強に感染 (ITmedia, 2009/01/15 08:25)
http://www.itmedia.co.jp/enterprise/articles/0901/15/news007.html

◆ダイアログ偽装の「USBウイルス」、「実行」を「表示」に見せかける (ITPro, 2009/01/26)

Windowsの脆弱性悪用ウイルスの亜種、自動再生機能を悪用

http://itpro.nikkeibp.co.jp/article/NEWS/20090126/323504/

◆「MS08-067」脆弱性を狙うワームの被害が拡大、トレンドマイクロ (Internet Watch, 2009/02/05)
http://internet.watch.impress.co.jp/cda/news/2009/02/05/22340.html

◆「Downadup」ワームの巧妙なるネットワーク・スキャン (ITPro, 2009/02/12)
http://itpro.nikkeibp.co.jp/article/COLUMN/20090208/324395/

◆東大病院でシステム障害、ワーム「DOWNAD.AD」が1000台以上に感染 (Internet Watch, 2009/03/03 12:49)
https://internet.watch.impress.co.jp/cda/news/2009/03/03/22645.html

◆Windowsの脆弱性悪用ウイルスに新たな亜種、セキュリティ機能を停止 (日経XTECH, 2009/03/09 15:48)
http://tech.nikkeibp.co.jp/it/article/NEWS/20090309/326199/

◆FAQ:「Conficker」ワームによる4月1日攻撃の可能性--その実態と対策 (CNet, 2009/03/31 07:30)
https://japan.cnet.com/article/20390670/?tag=mcol;relArticles

◆4月1日はワーム「Conficker」の発症日、対策の確認を--トレンドマイクロが呼びかけ (CNet, 2009/03/31)

トレンドマイクロおよびアンラボは3月30日、ワーム「Conficker(DOWNAD)」の発症日が4月1日であることから、セキュリティ対策実施状況や緊急時の連絡体制を事前に再確認するよう呼びかけている

https://japan.cnet.com/article/20390770/?tag=mcol;relArticles

◆「Conficker」ワームが4月1日に新たな活動を開始、各社が警告 (Internet Watch, 2009/03/31 13:24)
http://internet.watch.impress.co.jp/cda/news/2009/03/31/22970.html

◆「Conficker」ワーム、予想された混乱は起こさず--今後も注意は必要 (CNet, 2009/04/02 12:05)
https://japan.cnet.com/article/20390958/?tag=mcol;relArticles

◆Confickerワーム、さらに状況悪化 (GIZMODO, 2009/04/05 17:00)
http://www.gizmodo.jp/2009/04/conficker_2.html

◆3月に猛威をふるったConficker、 FlyStudioベースのトロイの木馬も登場--カスペルスキー調査 (CNet, 2009/04/06 11:33)
https://japan.cnet.com/article/20391042/?tag=mcol;relArticles

◆Confickerの感染を調べる方法と感染地図 (ZDNet, 2009/04/07 08:56)
https://japan.zdnet.com/article/20391198/

◆Confickerワームが新たな攻撃コードのダウンロード (ITmedia, 2009/04/10 08:24)

Confickerが新たに呼び込んだファイルの1つは、ユーザーをだまして有料ソフトを買わせようとする偽ウイルス対策ソフトだった

http://www.itmedia.co.jp/news/articles/0904/10/news028.html

◆Conficker感染マシンがスパムを大量送信 (ITmedia, 2009/04/13 08:35)

Conficker.Cが悪名高いマルウェアのWaledacを呼び込み、スパムメールの大量送信を始めたという

http://www.itmedia.co.jp/news/articles/0904/13/news016.html

◆企業内でまん延する「Conficker」、システム管理者経由で感染拡大 (Intrenet Watch, 2009/05/21 20:06)
http://internet.watch.impress.co.jp/cda/news/2009/05/21/23525.html

◆Confickerワーム撲滅に向け、マイクロソフトやICANNなどが結集 (COMPUTERWORLD, 2009/12/13)

タスクフォースを結成し、感染経路遮断に尽力

http://www.computerworld.jp/topics/563/135589

◆Microsoft、『Conficker』に対抗する広範な協力体制を組織 (japan.internet.com, 2013/02/13)
http://japan.internet.com/busnews/20090213/10.html

◆Microsoft,「Conficker」ワーム作成者摘発に25万ドルの懸賞金 (ITPro, 2009/02/13)
http://itpro.nikkeibp.co.jp/article/NEWS/20090213/324674/

◆「Conficker」ワームの“生産拠点”に捜査の手 (COMPUTERWORLD, 2011/06/24)

ウクライナ当局、7,200万ドルの被害を与えた犯罪グループアジトを19件摘発

http://www.computerworld.jp/topics/563/192154

◆Confickerワームが今でもはびこる原因は? Microsoftが報告書公開 (ITmedia, 2012/04/26)
Microsoftが「セキュリティインテリジェンスレポート」(SIR)の第12版を公開。ConfickerやAPT攻撃などにスポットを当てている
http://www.itmedia.co.jp/news/articles/1204/26/news017.html

◆(ネットと悪意)感染、レジもカメラも 「静かな」遠隔操作ウイルス蔓延 (朝日新聞, 2013/02/17)
http://www.asahi.com/shimen/articles/TKY201302160571.html

◆2008年に登場したマルウェアが依然として活発、スパム最多ウイルスに (Security NEXT, 2014/07/04)
http://www.security-next.com/050172

◆警察官用ボディカメラにコンピューターワーム「Conficker」がプリインストールされていたことが発覚 (Gigazine, 2015/11/17 21:00)
https://gigazine.net/news/20151117-police-body-camera-conficker/

◆ドイツ最大の原発がウイルスに感染 (sptniknews, 2016/04/27 23:11)
https://jp.sputniknews.com/incidents/201604272037718/

◆ドイツの原子力発電所のコンピューターからウイルスが発見される (Gizagine, 2016/04/28 19:00)
http://gigazine.net/news/20160428-nuclear-plant-computer-virus/

◆ドイツ原発関連でConfickerが発見。その危険性は? (マイナビニュース, 2016/06/02)
http://news.mynavi.jp/news/2016/06/02/259/

◆チェック・ポイントの調査で、企業ネットワークを狙うマルウェア・ファミリーの増加傾向が明らかに (SankeiBiz, 2016/07/14 10:13)
http://www.sankeibiz.jp/business/news/160714/prl1607141013032-n1.htm

◆新たなランサムウェアが流行--よく使われるマルウェアトップ3に食い込む (ZDNet, 2016/10/27 06:00)
http://japan.zdnet.com/article/35091070/

◆2008年に流行したワーム「Downad」の検出急増、IPA「原因不明」 (ZDNet, 2017/04/25 07:00)
https://japan.zdnet.com/article/35100256/

【プログ】

◆そのとき何が、「WORM_DOWNAD」ファミリの振り返り (Trendmicro, 2008/12/24)
http://blog.trendmicro.co.jp/archives/2383

◆When is AUTORUN.INF really an AUTORUN.INF? (F-Secure, 2009/01/07)
https://www.f-secure.com/weblog/archives/00001575.html

◆MS08-067 Worm, Downadup/Conflicker (F-Secure, 2009/01/08)
https://www.f-secure.com/weblog/archives/00001576.html

◆How Big is Downadup? Very Big. (F-Secure, 2009/01/13)
https://www.f-secure.com/weblog/archives/00001579.html

◆More Than One Million New Infections (F-Secure Weblog, 2009/01/14)
http://www.f-secure.com/weblog/archives/00001580.html

◆How Big is Downadup? Very Big. (F-Secure, 2009/01/13)
https://www.f-secure.com/weblog/archives/00001579.html

◆Conficker's autorun and social engineering (SANS, 2009/01/15)
https://isc.sans.edu/diary/Conficker%27s+autorun+and+social+engineering/5695

◆Calculating the Size of the Downadup Outbreak(F-secure, 2009/01/16)
http://www.f-secure.com/weblog/archives/00001584.html

◆Passwords used by the Conficker worm (nakedsecurity(SOPHOS), 2009/01/16)
http://nakedsecurity.sophos.com/2009/01/16/passwords-conficker-worm/

◆Calculating the Size of the Downadup Outbreak (F-Secure, 2009/01/16)
https://www.f-secure.com/weblog/archives/00001584.html

◆Investigating and Verifying domains to block (Conficker.B/Downadup.B) (SANS, 2009/01/17)
https://isc.sans.edu/diary/+Investigating+and+Verifying+domains+to+block+%28Conficker.BDownadup.B%29/5704

◆Social Engineering Autoplay and Windows 7 (F-Secure, 2009/01/19)
https://www.f-secure.com/weblog/archives/00001586.html

◆系譜から探る深刻度が増した「WORM_DOWNAD」 (Trendmicro, 2009/01/20)
http://blog.trendmicro.co.jp/archives/2507

◆Where is Downadup? (F-Secure Weblog, 2009/01/23)
http://www.f-secure.com/weblog/archives/00001589.html

◆Conficker(Downadup)ワームに関するまとめ (日本のセキュリティチーム, 2009/01/23)
http://blogs.technet.com/b/jpsecurity/archive/2009/01/24/3191000.aspx

◆The Conficker Cabal Announced (ARBOR SEAT, 2009/02/12)
http://ddos.arbornetworks.com/2009/02/the-conficker-cabal-announced/

◆Conficker/Downadup Scanning (ISC Diary, 2009/12/26)
http://isc.sans.org/diary/ConfickerDownadup+Scanning/5749

◆Conficker - Re-Booted from Windows Embedded (ISC Diary, 2009/12/27)
http://isc.sans.org/diary/Conficker+-+Re-Booted+from+Windows+Embedded/5752

◆Conficker の脅威について ~ マイクロソフト セキュリティ インテリジェンス レポート 第 12 版より (日本のセキュリティチーム, 2012/05/11)
http://blogs.technet.com/b/jpsecurity/archive/2012/05/11/3497417.aspx

◆依然猛威の「Conficker」ウイルス、弱いパスワードのPCが餌食に (ITPro, 2012/05/15)

企業環境では最悪の脅威、全世界で2億件以上検出

http://itpro.nikkeibp.co.jp/article/NEWS/20120515/396521/

◆「最悪の事態はこれから」? 不気味に急拡大する「Downadup」ワーム (クラウドWatch, 2013/12/26 09:04)
http://cloud.watch.impress.co.jp/epw/cda/infostand/2009/01/26/14763.html

◆「DOWNAD」:2014年第2四半期、最も多くスパムメールを送信した不正プログラムに (Trendmicro, 2014/07/03)
http://blog.trendmicro.co.jp/archives/9374

◆9年経過した「DOWNAD」依然としてまん延、更新されないレガシーシステムを狙う (Trendmicro, 2017/12/13)
http://blog.trendmicro.co.jp/archives/16614

【ベンダー情報】

◆Worm:Win32/Conficker.A (Microsoft, 2008/11/23)
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Worm:Win32/Conficker.A


【解析情報】

◆Conficker(Downadup)ワームに関するまとめ (Microsoft, 2009/01/23)
http://blogs.technet.com/b/jpsecurity/archive/2009/01/24/3191000.aspx

◆An Analysis of Conficker's Logic and Rendezvous Points (SRI International, 2009/02/04)
http://mtc.sri.com/Conficker/

◆ネットワークワーム Net-Worm.Win32.Kido (Conficker, Downadup) への対処方法 (個人製品向け) (Kaspersky, 2010/11/10 08:45)
http://support.kaspersky.co.jp/faq/?qid=193238801

◆W32.Downadup (Symantec, 2012/08/09 08:46)
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-112203-2408-99


【資料】

◆コンフィッカー対策に関する白書〜G DATA (G Data, 2009/02/25)
http://www.value-press.com/pressrelease/35495


【参考情報】

◆Conficker ワーム ウィルスから保護する (Microsoft)
http://www.microsoft.com/ja-jp/security/pc-security/conficker.aspx

◆Conficker が使用するパスワードリスト (出典: nakedsecurity, 2009/01/16)
f:id:tanigawa:20170122195238g:plain
http://nakedsecurity.sophos.com/2009/01/16/passwords-conficker-worm/


【関連サイト】

◆Conficker Working Group
http://www.confickerworkinggroup.org/wiki/


【関連情報】

f:id:tanigawa:20180603153657p:plain
世界の感染状況地図
f:id:tanigawa:20180603153714p:plain
米国の感染状況地図
出典: https://japan.zdnet.com/article/20391198/
f:id:tanigawa:20180603145610p:plain
Conficker(Win32/Conficker)が検出されたシステム数の推移(出典: 日本マイクロソフト)
http://itpro.nikkeibp.co.jp/article/NEWS/20120515/396521/?SS=imgview&FD=-654642772&ST=security

■感染数の推移

f:id:tanigawa:20180603181029j:plain
DOWNADの検出数(2012年から2016年まで)
f:id:tanigawa:20180603181134j:plain
「WORM_DOWNAD.AD」の検出数(2016年1月から2017年9月まで)
出典: http://blog.trendmicro.co.jp/archives/16614

【インディケータ情報】

■不正ファイルのダウンロード

  • http://{DGA}/search?q=0

※ DGA(Domain Generation Algorithm)を使用しており、IPアドレスは動的に変化
(以上は Trendmicroの情報。 引用元は https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/malware/conficker)


■生成ファイル

▲autorun.inf の生成

  • {X}:\autorun,inf

※ Xは ドライブレター

▲マルウェアの生成(複製)

%Application Data%\{random file name}.dll
%System%\{random file name}.dll
%System%\{random number}.tmp
%Program Files%\Internet Explorer\{random file name}.dll
%Program Files%\Movie Maker\{random file name}.dll
%User Temp%\{random file name}.dll
{drive letter}:\Recycler\{SID}\{random characters}.{random}

(以上は Trendmicroの情報。 引用元は https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/malware/conficker)

■生成フォルダー

  • {X}:\Recycler\{SID}

(以上は Trendmicroの情報。 引用元は https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/malware/conficker)


■レジストリの設定

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\{characters}
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{characters}

ImagePath = "%System Root%\system32\svchost.exe -k"

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{characters}\Parameters

ServiceDll = "%System%\{file name}"

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{service name}

Type = "1"

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{service name}

Start = "3"

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{service name}

ErrorControl = "0"

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{service name}

ImagePath = "%System%\{number}.tmp"

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{service name}

DisplayName = "{service name}"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

{characters} = "rundll32.exe {malware path and file name}, Parameter"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets

dl = "0"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets

ds = "0"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets

dl = "0"

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets

ds = "0"

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

TcpNumConnections = "00FFFFFE"

※ 変更前の上記レジストリ値は、「user-defined」

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
Start = "4"

※ 変更前の上記レジストリ値は、「2」

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

Start = "4"

※ 変更前の上記レジストリ値は、「2」

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue = "0"

※ 変更前の上記レジストリ値は、「1」

■通信先(IPアドレスの収集)

  • hxxp://www.getmyip.org
  • hxxp://www.whatsmyipaddress.com
  • hxxp://www.whatismyip.org
  • hxxp://checkip.dyndns.org

■通信先(時刻同期)

  • myspace.com
  • msn.com
  • ebay.com
  • cnn.com
  • aol.com
  • w3.org
  • ask.com
  • yahoo.com
  • google.com
  • baidu.com

【攻撃に使用するパスワード】

000
0000
00000
0000000
00000000
0987654321
111
1111
11111
111111
1111111
11111111
123
123123
12321
123321
1234
12345
123456
1234567
12345678
123456789
1234567890
1234abcd
1234qwer
123abc
123asd
123qwe
1q2w3e
222
2222
22222
222222
2222222
22222222
321
333
3333
33333
333333
3333333
33333333
4321
444
4444
44444
444444
4444444
44444444
54321
555
5555
55555
555555
5555555
55555555
654321
666
6666
66666
666666
6666666
66666666
7654321
777
7777
77777
777777
7777777
77777777
87654321
888
8888
88888
888888
8888888
88888888
987654321
999
9999
99999
999999
9999999
99999999
a1b2c3
aaa
aaaa
aaaaa
abc123
academia
access
account
Admin
admin
admin1
admin12
admin123
adminadmin
administrator
anything
asddsa
asdfgh
asdsa
asdzxc
backup
boss123
business
campus
changeme
cluster
codename
codeword
coffee
computer
controller
cookie
customer
database
default
desktop
domain
example
exchange
explorer
file
files
foo
foobar
foofoo
forever
freedom
fuck
games
home
home123
ihavenopass
Internet
internet
intranet
job
killer
letitbe
letmein
login
Login
lotus
love123
manager
market
money
monitor
mypass
mypassword
mypc123
nimda
nobody
nopass
nopassword
nothing
office
oracle
owner
pass
pass1
pass12
pass123
passwd
password
Password
password1
password12
password123
private
public
pw123
q1w2e3
qazwsx
qazwsxedc
qqq
qqqq
qqqqq
qwe123
qweasd
qweasdzxc
qweewq
qwerty
qwewq
root
root123
rootroot
sample
secret
secure
security
server
shadow
share
sql
student
super
superuser
supervisor
system
temp
temp123
temporary
temptemp
test
test123
testtest
unknown
web
windows
work
work123
xxx
xxxx
xxxxx
zxccxz
zxcvb
zxcvbn
zxcxz
zzz
zzzz


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019