Symantec Security Response Weblog
Downadup: Locking Itself Out」より
February 18,2009 Posted by Eric Chien

注記:当記事は「W32.Downadup」ワーム特集連載の第7回である。

 過去の投稿記事(関連記事:海老で鯛を釣る「Downadup」ワーム/「Downadup」ワームの巧妙なるネットワーク・スキャン)では,「Downadup」ワームがリモート・プロシージャ・コール(RPC)のエクスプロイトを使って感染する手口を取り上げたが,同ワームは別の方法でも感染する。中でも特に目立つのが,企業のネットワーク共有を介した感染である。

 Downadupは,Windowsパソコンが最初から備えているデフォルト共有フォルダ(ADMIN$)機能を使って,自らを別のパソコンにコピーする。ただ,このコピー処理にはユーザー認証が必要になる。このことが大きな副作用につながる。

 Downadupは,まずネットワーク上のすべてのWindowsパソコンの情報を入手できるNetServerEnumリクエストを使って,ネットワーク上にあるすべてのサーバーを調べ上げる。その後,各サーバーに感染を試みる。

 ユーザー認証をパスするために,ローカル・パソコンにログオンしているユーザーのID情報を最初に使ってみる。これでうまくいかなければ,別のユーザー名とパスワードを組み合わせて試行する。

 Downadupはリモート・サーバーに対して,利用可能なユーザー名を問い合わせるが,幸運なことに,Windows XPの大半とWindows XP以降のOSは,デフォルトでこのような情報を提供しなくなった。このためDownadupは,リモート・サーバーからのユーザー名取得に失敗すると,代わりにローカル・パソコン上の全ユーザー名を使用する。

 大量のユーザー名を取得できたDownadupは,これらユーザー名とさまざまなパスワードを組み合わせ,リモート・サーバーへの接続を試みる。Downadupの使うパスワードの例を挙げておく。

・ユーザー名そのもの(例:joesmith)
・ユーザー名をつなげたもの(例:joesmithjoesmith)
・ユーザー名を逆にしたもの(例:htimseoj)
・「password」「123」「admin」など,一般的によく用いられるパスワード(250種類弱)

 このパスワードを推測する行為は賢いやり方だが,すぐ副作用が現れる。ログイン失敗が何度か繰り返されると,アカウントがロックアウトされ,そのアカウントの本来のユーザーからITヘルプデスクに問い合わせが殺到するのだ。Downadupは,既存のユーザー名をすべて列挙できるため,さらに事態が悪化する可能性がある。Downadupに感染しているのがユーザー1人だけ,あるいはパソコン1台だけだとしても,社内で全ユーザーのアカウントが突如としてロックアウトされる可能性がある。

使用されるパスワードの一部

 アカウントがロックアウトされる前に正しいパスワードを見付けると,Downadupはデフォルト共有フォルダ(ADMIN$)経由でリモート・パソコンの「System32」ディレクトリに,自分自身をコピーする。この際,ランダムな文字列と拡張子からなるファイル名を付ける(このファイルは実行後に削除し,別のランダムな文字列と拡張子「DLL」を組み合わせた新たな名前のファイルにコピーする)。ファイルの時刻情報は「kernel32.dll」と同じ値に変更し,怪しまれないようにする。

 リモート・パソコンにファイルを忍ばせることに成功しても,まだファイルを実行しなければならない。そこで,Downadupはリモート・パソコン上でジョブをスケジューリングし,感染パソコンのローカル・タイムで次の正時にファイルを実行させる。例えばパソコンに感染した時刻が「午後2時36分」なら,「午後3時」にファイルが実行されるよう設定する。コピーしたファイルはDLL形式なので,rundll32.exeが実行を担当する。

 Downadupは,全サーバー/ユーザー名/パスワードの組み合わせで試行を終えると,40分休んだ後に同じ動作を再び試みる。この一連の動作により,アカウントが再びロックアウトされ,ITヘルプデスクにさらに電話が殺到することになる。

 「W32.Downadup」ワームの特集連載は,次週で終える。米シマンテックのセキュリティ・レスポンス・ブログのRSSフィード(http://www.symantec.com/xml/rss/srblogs.jsp)を購読すると,その後の分析および結論について最新情報が得られる。

Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Downadup: Locking Itself Out」でお読みいただけます。