UPDATE トレンドマイクロは米国時間4月10日、「Conficker」ワームの新たな機能を発見し、同ワームがウイルス対策ソフトウェアに見せかけたマルウェアをインストールすると報告した。これにより、Conficker作成者の意図が徐々に明らかになってきた。
トレンドマイクロのブログによると、インターネットに接続した「Windows」ベースのコンピュータに数多く感染しているConfickerワームは、「Spyware Protect 2009」というプログラムをダウンロードするとともに、コンピュータ上で深刻な脅威を検知したため、49.95ドルで脅威を除去するよう促す警告メッセージを表示するという。
感染アラートは繰り返し表示されるので、ユーザーがうっとうしいメッセージを取り除きたいがために警告をクリックしてソフトウェア代金を支払い、結果として攻撃者に自身のクレジットカード情報を渡してしまうかもしれない、と専門家らは懸念している。
Kaspersky Labのブログによれば、偽のウイルス対策プログラムはまた、トロイの木馬ダウンローダーをインストールしようと試み、これはSpyware Protect 2009の新版をダウンロードするようプログラムされているという。ただし現在、トロイの木馬ダウンローダーをホストしていたドメインは閉鎖されている、と同ブログは報告した。
ウイルス対策ソフトウェアを装うこの機能は、Confickerワームの背後にある動機が金儲けであって、コンピュータやネットワークの運用を妨害することではないという推測をさらに強めるものだ。
4月8日の時点で、ConfickerワームはPtoP経由で拡大し始め、「Waledec」ワームをホストしていたドメインからダウンロードを始めていたが、研究者らは依然として同ワームの新たなコンポーネントコードを解析する作業にあたっていた。ソフトウェアが暗号化されているため、作業が難航したからだ。
Confickerワームは、Microsoftが2008年10月に修正パッチで対応したWindowsの欠陥を介して広がるほか、外付けのストレージ機器や、パスワードが脆弱なネットワーク共有を通じて拡大する。同ワームはセキュリティソフトウェアを無効化し、セキュリティ関連ウェブサイトへのアクセスを遮断する。