WORM_DOWNADは、MS08-067の脆弱性をついて感染を広めるウィルスです。
現時点では破壊活動は確認されていないようですが、今後発生する亜種ではどうなるかわかりません。
最大の防御策はセキュリティパッチの適用です。
http://www.microsoft.com/japan/security/bulletins/MS08-067e.mspx
ただし、感染後は他の脆弱性を利用するので、抜本的には、公開されている全ての脆弱性に対するパッチを適用、まあ、平たく言えば、Windows Update(Microsoft Update)で全ての更新プログラムを適用する必要があるでしょう。
運悪く感染した場合は、駆除ツールで除去してください。
WORM_DOWNAD駆除ツールのダウンロードと使用方法は↓こちら。
http://jp.trendmicro.com/jp/threat/extermination_tool/downad/
感染経路と手口ですが、
初期の感染はスパムメールの添付ファイル、Webサイトアクセス、利用者自身の手によるインストール不正プログラムのインストールなどにより、侵入に至ったと思われます。
感染したコンピュータは他のコンピュータへ感染を広げようとします。
1つ目の方法は、「Windows Server Service RPC」の脆弱性を衝いた侵入です。
この脆弱性を衝いた侵入は、同ウイルスが細工された不正なRPC(Remote Procedure Call)リクエストを、感染対象コンピュータのTCP 445ポートへ送信します。
CATVネットにはLAN構成をとっているところもありますが、ケーブルモデムで外部からの445ポートへのアクセスを遮断していると思わますし、ブロードバンドルーターを使っているケースも多いので、ネットワーク内での大規模な感染は発生しないでしょう。
逆に言うと、ケーブルモデムやブロードバンドルーターのようなストッパーが存在しないLAN、特に企業内LANや庁内LANでは被害が大きくなる可能性が高いと言えます。
2つ目の方法は、感染したコンピュータがHTTPサーバ化して、感染を拡大する方法です。
感染源となった新しいコンピューターのURLをSPAMメール内にリンクとして設定し、メールを開いてクリックしたユーザのコンピュータを感染させます。
特徴的なのは、「WORM_DOWNAD.A」のDLLファイルを、HTTPレスポンス返答時のヘッダにおいて、「Content-Type: image/jpeg」と指定することです。これにより、実行ファイルの通信をフィルタリングする製品のくぐり抜けようとします。
3つ目の方法は、USBメモリやSDカードの自動起動(AutoRun)やUPnPによる感染です。
最近の感染はこの方法による初期感染が多いかもしれないです。
コメント