Microsoftは米国時間11月26日,「Win32/Conficker.A」と名付けられたワームが,Windowsマシンで広まっていることを発表した。同社が10月にパッチをリリースしたセキュリティホールが利用されているという。
セキュリティアップデート「MS08-067」によって対処された脆弱性を利用するこの攻撃は,ここ数日で増加している。
Microsoftは「Microsoft Malware Protection Center」へのブログ投稿で,このマルウェアは主に企業内で広がっているものの,家庭用PCも数百台攻撃されたと述べている。
この投稿には「このマルウェアは,ポート番号1024~10000の範囲にあるポートを無作為に開き,Webサーバのように動作する。そして,MS08-067の脆弱性を悪用することでネットワーク上の無作為に選択したコンピュータに伝播していく。いったんリモートコンピュータへの攻撃が成功すると,そのコンピュータは,ワームによって無作為に開かれたポートを用いてHTTP経由でワームのコピーをダウンロードする。ワームがコピーされる際にはしばしば,.JPGが拡張子で使用され,そのコピーは無作為に付けられた名前のdllファイルとしてローカルのシステムフォルダに保存される」と書かれている。
Microsoftはまた,「興味深いことに,このワームは脆弱性を抱えたAPIに対してメモリ中でパッチを当てることで,該当マシンの脆弱性に対処する。マルウェア作者は,該当のコンピュータを気遣ってこういったパッチを当てているわけではなく,他のマルウェアにコンピュータを乗っ取られないようにしているだけだ」とも述べている。
感染しているマシンのほとんどは米国内にあるものだが,ドイツやスペイン,フランス,イタリア,台湾,日本,ブラジル,トルコ,中国,メキシコ,カナダ,アルゼンチン,チリでも感染が報告されている。Microsoftによると,このワームは何らかの理由でウクライナにあるコンピュータには感染しないようになっているという。
また,「Backdoor:Win32/IRCbot.BH」に分類される複数の種類のボットもこのセキュリティホールを悪用している。これらのボットは,外部からのコマンドを待ち受けるために,IRCサーバに接続するトロイの木馬型のバックドアを仕掛ける。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
