ネットワークワーム Net-Worm.Win32.Kido (Conficker, Downadup) への対処方法

 

 

Safety 101: ウイルスとソリューション

 
 
 

ネットワークワーム Net-Worm.Win32.Kido (Conficker, Downadup) への対処方法

"ウイルスとソリューション"へ戻る
2014 5月 08 Article ID: 4673
 
 
 
 

Net-Worm.Win32.Kido ファミリーの概要

  • リムーバブルドライブ上 (場合によってはネットワーク上の共有フォルダ) に、autorun.inf ファイルと RECYCLED\{SID<....>}\RANDOM_NAME.vmx ファイルを作成します。
  • ランダムな名前の DLL ファイルとして、自分自身を保存します。例:c:\windows\system32\zorizr.dll
  • ランダムな名前のシステムサービスとして、自分自身を保存します。例:knqdgsm.
  • MS Windows の脆弱性 MS08-067 を利用して、TCP ポート 445135 経由でネットワークコンピュータに攻撃を試みます。
  • 感染したコンピュータの外部 IP アドレスを調べるために、以下のサイトに接続を試みます (これらのサイトへの接続試行を監視するように、ファイアウォールを設定することをお勧めします:

ネットワーク感染の症状

  • 感染した PC がネットワーク上にある場合は、感染 PC からのネットワーク攻撃が開始されるため、トラフィック量が上昇します。
  • ファイアウォールが有効になっているアンチウイルス製品をお使いの場合は、Intrusion.Win.NETAPI.buffer-overflow.exploit 攻撃が通知されます。

    重要!

    攻撃を受けているという通知がくり返される場合は、リモート PC が感染しています。攻撃元のリモート PC のアドレスは通知に表示されます。可能であれば、リモートコンピューターの感染駆除を実行してください。
  • ほとんどのアンチウイルス企業の Web サイトにアクセスできなくなります (avira、avast、esafe、drweb、eset、nod32、f-secure、panda、kaspersky など)。
  • Kaspersky Anti-Virus が、システムフォルダ [system32] にあるランダムな名前および拡張子のファイル (例:oufgt.quf) の検知と削除を繰り返します。完全スキャンを実行しても、何も検知されません。 

    重要!

    検知がくり返されても、そのPC が感染しているとは限りません。攻撃されている PC の管理者権限を持つネットワーク上の PC が感染しており、フォルダ [system32] にマルウェアをコピーしている可能性があります。
    その場合、カスペルスキー製品はマルウェア本体のコピーによる感染を防ぎます。
    感染した PC を特定し、感染駆除を実行する必要があります。ドメインコントローラーを最初に確認してください。 

感染駆除の方法

Microsoft Windows 95Windows 98 および Windows ME は、このネットワークワームに感染しません。

このワームによる感染を防ぐため、次の手順に従うことをお勧めします:

  1. 脆弱性に対応するパッチを Microsoft から入手してインストールします。 MS08-067MS08-068MS09-001 (これらのページから、感染した PC の OS に対応するパッチをダウンロードしてインストールしてください)
  2. ローカルの管理者権限のパスワードを確認します (パスワードが第三者に不正に使用されないようにするには、6 文字以上のパスワードを、アルファベットの大小、数字、およびピリオドなどの記号をおりまぜて作成しておく必要があります)。 
  3. リムーバブルメディアから実行ファイルが自動実行されないように、-a スイッチを指定してユーティリティ KK.exe を起動します:

    • ユーティリティ KidoKiller (kk.zip) をダウンロードし、感染 PC 上のフォルダ (C:\ など) に解凍します。
    • コマンドプロンプトを開き、ファイル kk.exe を、 -a スイッチを指定して実行します。
  4. TCP ポート 445139 へのネットワークアクセスをファイアウォールの設定で遮断します。遮断の必要があるのは感染している間のみです。感染駆除の完了後は、これらのポートへのアクセスを許可できます。

ローカルで感染を駆除するには

  1. 駆除ツールのアーカイブ kk.zip をダウンロードし、感染 PC 上のフォルダに解凍します。 
  2. ユーティリティの実行中は、カスペルスキー製品のファイルアンチウイルス機能を無効にします。 
  3. KK.exe を実行します。 

    スイッチを指定せずに KK.exe を実行した場合、進行中の感染の停止 (スレッド停止、フックの削除)、メモリのスキャン、感染しやすい重要な領域のスキャン、レジストリのクリーンナップ、フラッシュドライブのスキャンが実行されます。
  4. スキャンが終了するまで待ちます。  

    ユーティリティ KK.exe を実行するコンピュータに Agnitum Outpost Firewall がインストールされている場合は、ユーティリティの実行後に必ずコンピュータを再起動してください。
  5. カスペルスキーのアンチウイルス製品を使用して、コンピュータの完全スキャンを実行します。

Administration Kit を使用して感染を駆除するには

  1. ユーティリティ KidoKiller kk.zip をダウンロードしフォルダに解凍します。
  2. 管理コンソール で、kk.exe のインストールパッケージを作成します。インストールパッケージの [アプリケーション設定]で、[指定した実行ファイルのインストールパッケージを作成する] を選択します。

    処理の終了後にコマンドプロンプトのウィンドウが自動的に閉じるようにするには、KK.EXE の実行時に -y スイッチを指定してください。

     
     
  3. このパッケージを使用して、感染したネットワークコンピュータまたは感染が疑われるネットワークコンピュータを対象とする [アプリケーション導入タスク] (グループタスクまたはグローバルタスク) を作成します。 
  4. ユーティリティの実行前に、カスペルスキー製品ファイルアンチウイルス機能を無効にします
  5. タスクを実行します。

    重要!

    ドメインネットワーク内では、「Administrators」グループおよび「Domain Admins」グループからログインしたユーザのドメインとコンピュータの感染を最初に駆除することが重要です。これらの感染駆除を最初に行わないと、ドメイン内の PC すべてが 15 分ごとに感染を繰り返します。  

    Administration Kit / Kaspersky Security Center を使用してユーティリティを実行すると、ユーティリティは SYSTEM 権限で起動するためネットワークドライブおよび共有フォルダにアクセスできません。 

    ネットワークドライブまたは共有フォルダにレポートを書き込みたい場合は、 run as コマンドを使用してユーティリティを実行してください。 
  6. ユーティリティの作業が終了したら、カスペルスキーのアンチウイルス製品を使用して、各コンピュータのスキャンを実行します。  

    ユーティリティ KK.exe を実行するコンピュータに Agnitum Outpost Firewall がインストールされている場合は、ユーティリティの実行後に必ずコンピュータを再起動してください。

KK.exe をコマンドラインで実行する場合に使用可能なスイッチ

- p < パス > - 指定のフォルダをスキャンします。

- f - ハードディスクをスキャンします。

-n - ネットワークディスクをスキャンします。

-r - フラッシュドライブ、USB または Fire Wire で接続したリムーバブルディスクをスキャンします。

-y - キーを押さなくてもスキャンが終了するように指定します。

-s - サイレントモード (コマンドプロンプト画面は表示されません)。

-l < ファイル名 > - ログに情報を出力します。

- v - 詳細ログ ( スイッチ -v は、スイッチ -l が指定されていないと機能しません)。

- z  - 各種サービスを復旧します:

  • Background Intelligent Transfer Service (BITS), 
  • Windows Automatic Update Service (wuauserv), 
  • Error Reporting Service (ERSvc/WerSvc), 
  • Windows Defender (WinDefend), 
  • Windows Security Center Service (wscsvc).

- 非表示のシステムファイルを表示させます。

- a - すべてのドライブからファイルの自動実行を無効化します。

- m - システムが感染しないように監視するためのモードです。

- j - レジストリブランチ SafeBoot を復元します (このレジストリブランチが削除されていると、コンピュータをセーフモードで起動できません)。

- help - このユーティリティに関する追加情報を表示します。

たとえば、フラッシュドライブをスキャンし、report.txt (KK.exe のセットアップフォルダ内に作成される) に詳細レポートを書き出すには、以下のコマンドを使用します: 

kk.exe -r -y -l report.txt -v

別のディスクやパーティション (D ドライブなど) をスキャンするには、以下のコマンドを使用します:

kk.exe -p D:\ 

KidoKiller (KK.exe) バージョン 3.4.6 以降では、以下のリターンコード(%errorlevel%)が返されます: 

3 - 悪意あるストリームが検知され、削除された (ワームがアクティブであった) 

2 - 悪意あるストリームが検知され、削除された (ワームはアクティブではなかった) 

1 - 悪意あるタスク、または関数のインターセプトが検知された (この PC 自体は感染していないが、ネットワーク上に感染 PC が含まれる可能性あり。管理者の対応が必要) 

0 - 何も検知されなかった

 
 
 
 
この情報は役に立ちましたか?
はい いいえ
 

 
 

このサイトへのフィードバック

サイトのデザインに関するご感想や、問題点などをご報告ください。

サイトへのフィードバックを送信 サイトへのフィードバックを送信

ありがとうございます!

お寄せ頂きましたフィードバックは、今後のサイトの改善に役立てて参ります。