Internet Watch logo
記事検索
最新ニュース

Confickerが新たな活動を開始、P2P通信や他ワームとの連携も


 Trend Microは8日、Conficker(DOWNAD)ワームがP2P型の通信による新たな活動を開始したことを明らかにした。

 Trend MicroのリサーチャーIvan Macalintal氏が、「TrendLabs」の公式ブログに投稿した内容によると、4月7日午前7時40分ごろに、WindowsマシンのTempフォルダに新たなファイルが作成されていることを確認。このファイルが作成された時間帯にHTTPによる通信は行われておらず、韓国にあるConfickerのP2Pノードとの間で暗号化された通信が確認できたという。

 Trend Microでは、この通信によりConfickerワームのアップデートが行われるとして、アップデートされたワームについては「WORM_DOWNAD.E」と命名。WORM_DOWNAD.Eもこれまでのワームと同様に、「MS08-067」の脆弱性を悪用して感染を広げようとするが、2009年5月3日にはワームの活動を停止し、PCに痕跡を残さないようにファイルなどを削除するように作られているという。このほかの挙動としては、5114番ポートをHTTPサーバーのために開けるほか、「myspace.com」「msn.com」「ebay.com」「cnn.com」「aol.com」の各サイトにアクセスを行う。

 また、別の興味深い挙動としては、Confickerワームが別のワーム「Waledac」によるボットネットのサイトにアクセスし、ファイルをダウンロードしていることが確認されたとしている。

 Macalintal氏は、Confickerワームが予想通りHTTPではなくP2Pによってアップデートが行われ、Confickerによるものと思われるP2P通信も増加していると説明。ConfickerとWaledacの連携については、可能性はあるがまだ調査が必要で、Conficker対策のために業界が共同で設立した「Conficker Working Group」でも調査を進めているとした。


関連情報

URL
  TrendLabs公式ブログの該当記事(英文)
  http://blog.trendmicro.com/downadconficker-watch-new-variant-in-the-mix/


( 三柳英樹 )
2009/04/09 20:06

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2009 Impress Watch Corporation, an Impress Group company. All rights reserved.