トレンドマイクロは米国時間2009年3月30日,全世界で感染拡大中のワーム「Downadup」(別名「DOWNAD」「Conficker」)が4月1日に何らかの活動を開始するとみられることから,警戒するよう呼びかけた。また,Downadup削除に必要な情報を検索するユーザーの行動に乗じ,偽ウイルス対策ソフトウエアをダウンロードさせようとする動きもあると報告した。
Downadupの最新の亜種「Downadup.C」は4月1日に起動して外部と通信するアルゴリズムを備えているが,具体的にどのような悪影響が生ずるのか判明していない(図)。トレンドマイクロは,Windowsの自動アップデート機能を利用したり,セキュリティ・ソフトウエアのウイルス定義ファイルを最新版に更新したりといった対策で,不測の事態に備えることを推奨している。
同社は,Downadup自体の問題とは別に,Downadup感染パソコンのユーザーを狙ったソーシャル・エンジニアリング攻撃を確認したとしている。「nmap conficker」「remove conficker」などのキーワードでWeb検索を実行すると,検索結果に悪質な偽ウイルス対策ソフトウエアを配布するWebサイトが表示されるという。同社のセキュリティ・ソフトウエアは,これらのソフトウエアをトロイの木馬「TROJ_DLOADER.CXV」「TROJ_FAKEAV.AVS」「TROJ_FAKEALER.ES」として検出する。
Downadupは,2008年10月24日に緊急公開されたWindowsのセキュリティ・ホール「MS08-067」を悪用して感染を広げるワーム(関連記事:Windowsの「緊急」脆弱性を突くウイルスが続出、PCを乗っ取られる恐れ/複合型ウイルス)。2008年12月に,ネットワークログオンのパスワードを破って別のパソコンに侵入したり,USBメモリー経由で感染拡大したりする亜種が出現(関連記事:「Downadup」ワームによるWindowsアカウントの無効化)。2009年3月には新たな亜種Downadup.Cが登場した(関連記事:Windowsの脆弱性悪用ウイルスに新たな亜種、セキュリティ機能を停止)。
同社はDownadupワーム対策を目的とする業界団体「Conficker Working Group」(別名「Conficker Cabal」)に参加し,同ワームから外部への通信を遮断する取り組みなどに協力している(関連記事:「W32.Downadup」ワーム対策の業界団体を設立)。
