米Trend Microは米国時間2009年4月8日，Windowsのぜい弱性を悪用するワーム「Conficker」の新たな亜種が確認されたとして警告を発した。Confickerワームがピア・ツー・ピア（PtoP）通信によってアップデートされたもので「WORM_DOWNAD.E」と命名している。

　Trend Microの研究者は，Confickerに感染したマシン間におけるPtoP通信の増加に気づき，4月7日にWindowsのTempフォルダに新しいファイル（約199Kバイト）が作成されていることを確認した。ファイルが作成された時間帯の通信状況を調べたところ，HTTP通信によるダウンロードの形跡はなく，韓国にあるConfickerに感染したマシンからPtoP通信により暗号化されたTCPパケット（約135Kバイト）が送信されてきていることが確認できたという。

　WORM_DOWNAD.E は，2009年5月3日に活動を停止するようにプログラムされている。ランダムなファイル名とサービス名を使って実行され，ダウンロードされたファイルなどは痕跡を残さないように削除される。インターネット接続を利用できる場合には，Windowsのぜい弱性「MS08-067」を悪用して外部に感染を広げようと試みる。また，HTTPサーバーのために5114番ポートを開けるほか，「myspace.com」「msn.com」「ebay.com」「cnn.com」「aol.com」にアクセスすることが確認されている。

　このほかにも，Trend Microは，Confickerに感染したマシンが，マルウエア「Waledac」を配布するWebページにアクセスして別の暗号化されたファイルのダウンロードを試みているとして，ConfickerとWaledacの連携の可能性についても指摘している。

［発表資料へ］
［TrendLabの公式ブログ］