今回はWORM_DOWNAD.Aを取り上げる。WORM_DOWNADファミリーはマイクロソフトのServerサービスに存在するぜい弱性(MS08-067:CVE-2008-4250)や,管理目的共有フォルダ(IPC$)の「NULL セッション接続」を通じてシステムへの侵入を試みるタイプの不正プログラムである。WORM_DOWNAD.Aは,2008年11月24日(米国時間)に発見されて以来,急速にその感染を拡げ,2009年3月10日現在全世界で17万弱のコンピュータに被害を及ぼした(図1)。
このようにOSのぜい弱性を突いて感染を拡げるネットワークウイルス型のワームは2001年から2005年にかけて多くのネットワーク管理者の頭痛の種となっていた。古くは2001年のNIMDA(ニムダ),2003年のMSBLAST(エムエスブラスト),2004年のSASSER(サッサー),2005年のZOTOB(ゾトブ)などが挙げられ,そのいずれもその年を代表する凶悪な不正プログラムとして知られている。
今回は,検証環境用に2台のコンピュータを用意した。テスト機にはそれぞれMS08-067のぜい弱性を持つWindows XP SP2をインストールした。続いて,テスト機1上でWORM_DOWNAD.Aを実行した。なお,検証環境からほかのネットワークへ影響を及ぼさないように完全なローカルネットワーク環境で検証を行った(図2)。
WORM_DOWNAD.A実行後にテスト機1のシステム上において,ファイルやレジストリなどいくつかの改変が行われた。まず,システムフォルダ配下にuythduki.dllファイルが作成された。uythduki.dllファイルはWORM_DOWNAD.A自身のコピーで,ランダムな名前で作成される(図3)。
続いて,WORM_DOWNAD.Aはコンピュータが実行されるたびに自身が起動されるようにレジストリにigwlfcojという名前のサービスを追加した(図4)。
