「Conficker」ワーム、活動を開始--PtoPによるアップデートでペイロードを投下

　「Conficker」ワームがついに活動を開始した。トレンドマイクロが米国時間4月8日に明らかにしたところによると、感染したコンピュータ間におけるPtoP経由のやり取りでアップデートが行われるとともに、謎のペイロードが投下されているという。

　トレンドマイクロのセキュリティ教育担当グローバルディレクターであるDavid Perry氏によると、感染しているコンピュータに送り込まれているソフトウェアのコードをリサーチャーらが解析中であるものの、キーロガーか、コンピュータ上の機密情報を盗むための何らかのプログラムではないかと考えられるという。

　トレンドマイクロによると、このソフトウェアは、rootkitの陰に隠れた「.sys」コンポーネントであるようだという。rootkitとは一般に、コンピュータへの侵入を隠蔽するために作られたソフトウェアである。このソフトウェアは厳重に暗号化されており、コードの解析が困難であると、リサーチャーらは述べている。

　TrendLabsのMalware Blogによると、同ワームはコンピュータがインターネットに接続されているかどうかを判断するためにMySpace.comやMSN.com、eBay.com、CNN.com、AOL.comに接続を試み、ホストマシンにおける自らの痕跡をすべて削除してから、5月3日に活動を停止するよう設定されているという。

　トレンドマイクロのアドバンストスレットリサーチャーであるPaul Ferguson氏によると、感染しているコンピュータは、新たなコンポーネントを1度に取得するのではなく、少しずつ取得するようになっているため、そのコンピュータでウェブサイトを閲覧していても気が付かないという。

　Perry氏は「（このワームは）5月3日を過ぎると活動を停止し、複製を作らなくなる」と述べている。しかし同氏は、感染しているコンピュータが遠隔地からコントロールされ、何か他のことをさせられる可能性も残っていると述べている。

　トレンドマイクロのリサーチャーらは7日夜、WindowsのTempフォルダに新しいファイルが作成されており、韓国に存在が確認されているConfickerのPtoPが使用するIPノードから、暗号化された巨大なTCPパケットが送信されていることに気付いた。

　TrendLabsのMalware Blogには、「予想通り、アップデートにはHTTPではなく、Downad/Confickerボットネット用のPtoP通信が使われたと思われる。Conficker/DownadのPtoP通信は現在、非常に活発に行われている！」と書かれている。

　トレンドマイクロのセキュリティリサーチャーであるRik Ferguson氏による別のブログへの投稿によると、新たな伝播機能の追加に加えて、ConfickerはWaledacファミリのマルウェアや、そのStormボットネットに関連があるサーバとも通信を行うという。

　リサーチャーらによると、Confickerワームは、既知のWaledacドメインにアクセスし、暗号化されている他のファイルをダウンロードしようとするという。

　Conficker.Cは、4月1日に活動を開始するようにプログラムされていたにもかかわらず、実際に目立った活動を行うことはなかった。Perry氏によると、300万〜1200万のコンピュータが感染しているという。

　リサーチャーらは当初、Confickerワームの新しい亜種を発見したと考えていたものの、現時点において、これは同ワームの単なる新しいコンポーネントに過ぎないと確信している。