米Trend Microは米国時間2009年4月8日,Windowsのぜい弱性を悪用するワーム「Conficker」の新たな亜種が確認されたとして警告を発した。Confickerワームがピア・ツー・ピア(PtoP)通信によってアップデートされたもので「WORM_DOWNAD.E」と命名している。

 Trend Microの研究者は,Confickerに感染したマシン間におけるPtoP通信の増加に気づき,4月7日にWindowsのTempフォルダに新しいファイル(約199Kバイト)が作成されていることを確認した。ファイルが作成された時間帯の通信状況を調べたところ,HTTP通信によるダウンロードの形跡はなく,韓国にあるConfickerに感染したマシンからPtoP通信により暗号化されたTCPパケット(約135Kバイト)が送信されてきていることが確認できたという。

 WORM_DOWNAD.E は,2009年5月3日に活動を停止するようにプログラムされている。ランダムなファイル名とサービス名を使って実行され,ダウンロードされたファイルなどは痕跡を残さないように削除される。インターネット接続を利用できる場合には,Windowsのぜい弱性「MS08-067」を悪用して外部に感染を広げようと試みる。また,HTTPサーバーのために5114番ポートを開けるほか,「myspace.com」「msn.com」「ebay.com」「cnn.com」「aol.com」にアクセスすることが確認されている。

 このほかにも,Trend Microは,Confickerに感染したマシンが,マルウエア「Waledac」を配布するWebページにアクセスして別の暗号化されたファイルのダウンロードを試みているとして,ConfickerとWaledacの連携の可能性についても指摘している。

発表資料へ
TrendLabの公式ブログ