2008年のコンピュータワーム
Conficker は Downup 、 Downadup 、 Kido と も呼ばれ 、 Microsoft Windows オペレーティングシステム を標的とする コンピュータワーム で、2008年11月に初めて検出されました。 [2] Windows OSソフトウェアの欠陥 (MS08-067 / CVE-2008-4250) [3] [4] と管理者パスワードに対する 辞書攻撃を利用して ボットネット を形成しながら増殖し 、多くの高度なマルウェア技術を組み合わせて使用するため、対抗するのが非常に困難でした。 [5] [6] Conficker ワームは、190か国以上で政府、企業、家庭用コンピュータを含む数百万台のコンピュータに感染し、2003年の SQL Slammer ワーム以来最大のコンピュータワーム感染となりました 。 [7]
このワームは広範囲に拡散したにもかかわらず、大きな被害は出なかった。おそらく、作成者(ウクライナ国民とみられる)が注目を集めたため、あえて使用しなかったためだろう。 [ 要出典 ] 4人の男が逮捕され、1人が有罪を認めて懲役4年の刑を宣告された。
有病率
ウイルスはバージョンごとに拡散と更新戦略を変えていたため、感染したコンピュータの数を推定することは困難でした。 [8] 2009年1月には、感染したコンピュータの推定数は約900万台 [9] [10] [11] から1500万台の範囲でした。 [12] マイクロソフトは、マルウェア対策製品によって検出された感染したコンピュータの総数は、2010年半ばから2011年半ばにかけて約170万台で安定していると報告しています。 [13] [14] 2015年半ばまでに、感染総数は約40万台に減少し、 [15] 2019年には50万台になると推定されています。 [16]
歴史
名前
Confickerという名称の由来は、 英語の 「configure」と ドイツ語の 罵り言葉 「Ficker」 (英語: fucker )を組み合わせたものと考えられています。 [17] マイクロソフトのアナリスト、ジョシュア・フィリップスは、この名称について別の解釈を示し、ドメイン名「trafficker.biz」 [18] の一部(ドメイン名にはない「k」を「trafficker」のように「柔らかい」c音を避けるために追加)を再構成したものと説明しています。このドメイン名は、Confickerの初期バージョンでアップデートのダウンロードに使用されていました。
発見
2008年11月初旬に発見されたコンフィッカーの最初の亜種は、 Windows 2000 、 Windows XP 、 Windows Vista 、 Windows Server 2003 、 Windows Server 2008 、 Windows Server 2008 R2ベータ版の ネットワークサービス (MS08-067) の 脆弱性を悪用し てインターネットを通じて拡散しました。 [19] Windows 7もこの脆弱性の影響を受けた可能性がありますが、Windows 7ベータ版は2009年1月まで公開されませんでした。マイクロソフトは2008年10月23日に緊急の アウトオブバンド パッチ をリリースして脆弱性を解消しましたが、 [20] 多数のWindows PC(推定30%)が2009年1月になってもパッチが適用されていませんでした。 [21] 2008年12月に発見されたこのウイルスの2番目の亜種は、 リムーバブルメディア や ネットワーク共有 を介してLAN上で拡散する機能を追加しました。 [22] 研究者たちは、これらがウイルスの急速な増殖を許した決定的な要因であると考えています。
ヨーロッパへの影響
フランス海軍の コンピュータネットワークであるイントラマールは 、2009年1月15日にコンフィッカーに感染しました。その後ネットワークは隔離され、飛行計画をダウンロードできなくなったため、いくつかの空軍基地の航空機は地上待機を余儀なくされました。 [23]
英国 国防省は、 主要システムとデスクトップの一部が感染したと報告した。ウイルスは管理オフィス、英国海軍の軍艦や潜水艦に搭載されている NavyStar/N*デスクトップに拡散し、 シェフィールド 市内の病院では 800台以上のコンピュータが感染したと報告された。 [24] [25]
2009年2月2日、ドイツ連邦 軍 は、約100台のコンピュータが感染したと報告した。 [26]
2009年2月、マンチェスター 市議会のITシステムが感染し、 推定150万ポンド相当の混乱を引き起こした。USBフラッシュドライブが最初の感染経路だと考えられていたため、使用が禁止された。 [27]
2009年3月24日、英国議会ICTサービス局長は 下院 利用者に対し、下院がウイルスに感染したことを通知するメモを送付した。このメモは後に流出し、利用者に対し、許可されていない機器をネットワークに接続しないよう呼びかけていた。 [28]
2010年1月、 グレーター・マンチェスター警察のコンピュータネットワークが感染し、予防措置として 警察の全国コンピュータ から3日間切断されました 。その間、警察官は他の部隊に車両や人の定期点検を依頼しなければなりませんでした。 [29]
手術
コンフィッカーが使用する高度な マルウェア 技術のほとんどは過去に使用されたことがあるか、研究者の間ではよく知られているが、ウイルスがこれほど多くの技術を組み合わせて使用しているため、駆除は非常に困難である。 [30] また、ウイルスの正体不明の作者は、ネットワーク事業者や法執行機関によるマルウェア対策の取り組みを追跡し、ウイルス自身の脆弱性を塞ぐために定期的に新しい亜種をリリースしていると考えられている。 [31] [32]
Confickerウイルスには5つの亜種が知られており、Conficker A、B、C、D、Eと呼ばれています。これらはそれぞれ2008年11月21日、2008年12月29日、2009年2月20日、2009年3月4日、2009年4月7日に発見されました。 [33] [34] Confickerワーキンググループは、同じ亜種に対してそれぞれA、B、B++、C、Eという名称を使用しています。これは、(CWG) B++は(MSFT) Cと同等であり、(CWG) Cは(MSFT) Dと同等であることを意味します。
初期感染
ウイルスはシステム起動時に自身を起動するために、DLL形式のコピーをWindowsシステムフォルダまたはsystem32フォルダにランダムなファイル名で保存し、レジストリキーを追加して svchost.exe がそのDLLを目に見えないネットワークサービスとして呼び出すようにします。 [32]
ペイロードの伝播
このウイルスは、ネットワーク経由で実行可能 ペイロードを プッシュまたは プルする ための複数のメカニズムを備えています。これらのペイロードは、ウイルスが自身を新しい亜種にアップデートしたり、追加のマルウェアをインストールしたりするために使用されます。
亜種Aは、5つのTLD にわたって毎日250件の ドメイン名 のリストを生成します 。これらのドメイン名は、現在の日付をシードとする 疑似乱数生成器 (PRNG)によって生成され、ウイルスのすべてのコピーが毎日同じドメイン名を生成するようにします。その後、ウイルスは各ドメイン名に順番にHTTP接続を試行し、署名されたペイロードが送信されることを期待します。 [32]
バリアントBではTLDの数を8つに増やし、ジェネレーターを調整して Aのドメイン名とは 別のドメイン名を生成します 。[32]
ウイルスによる疑似乱数ドメイン名の使用に対抗するため、 インターネット名前と番号の割り当てのための機関 (ICANN) といくつかの TLD レジストリは 、2009 年 2 月からこれらのドメインの 移転 と登録の協調的な禁止を開始しました。 [50] 亜種 D は、110 の TLD にわたる 50,000 のドメインのプールを毎日生成し、その日に試行する 500 をランダムに選択することでこれに対抗します。生成されたドメイン名も、 ヒューリスティック による検出を困難にするために 8 ~ 11 文字から 4 ~ 9 文字に短縮されます。この新しいプル メカニズム (2009 年 4 月 1 日まで無効化) [33] [42] は、1 日あたり感染ホストの 1% 以上にペイロードを拡散する可能性は低いですが、ウイルスのピアツーピア ネットワークのシード メカニズムとして機能すると予想されます。 [35] しかし、生成される短いドメイン名は、1日に150~200の既存ドメイン名と衝突すると予想され、これらのドメインを提供するサイトに対して 分散型サービス拒否攻撃 (DDoS)を引き起こす可能性があります。しかし、生成されるドメイン名の数が多いこと、そして特定の日にすべてのドメインにアクセスするわけではないという事実から、DDoS攻撃はおそらく回避されるでしょう。 [51]
亜種Cは 名前付きパイプ を作成し、それを介してダウンロード可能なペイロードの URLを ローカルエリアネットワーク 上の他の感染ホストにプッシュすることができます 。 [42]
亜種B、C、Eは、NetBIOS関連のDLLにメモリ内 パッチを 適用してMS08-067を無効化し、同じ脆弱性を介した再感染の試みを監視します。Confickerの最新バージョンからの再感染は許可されるため、この脆弱性は事実上、拡散用の バックドア となります。 [38]
亜種DとEは、アドホックな ピアツーピアネットワーク を構築し、インターネット経由でペイロードをプッシュ・プルします。このウイルスの特徴は コードが高度に難読化されて おり、完全には解明されていませんが、感染ホストのピアリストを構築するために 大規模な UDPスキャンを使用し、その後署名付きペイロードを転送するために TCPを 使用することが観察されています。分析を困難にするため、接続のポート番号は各ピアの IPアドレス から ハッシュ化され ます。 [40] [42]
装甲
ペイロードの乗っ取りを防ぐため、亜種Aのペイロードはまず SHA-1 ハッシュ化さ れ、 512ビットハッシュを鍵として RC4 暗号 化 されます 。 その後、ハッシュは 1024ビットの秘密鍵で RSA署名されます。 [39] ペイロードは、ウイルスに埋め込まれた 公開鍵 で署名が検証された場合にのみ解凍され実行されます。亜種B以降はハッシュ関数として MD6を 使用し、RSA鍵のサイズを4096ビットに増やしています。 [42] Conficker BはMD6が初めて公開されてからわずか数ヶ月後に採用されました。しかし、初期バージョンのアルゴリズムに脆弱性が発見され、新しいバージョンが公開されてから6週間後、Confickerは新しいMD6にアップグレードしました。 [6]
自己防衛
DLL形式のウイルスは、所有権を「 SYSTEM 」に設定することで削除から保護されており、たとえユーザーに管理者権限が付与されていても削除できません。ウイルスは、このDLLのバックアップコピーを、ユーザーの ネットワークサービス のInternet Explorerキャッシュに.jpg画像として保存します 。
ウイルスの亜種Cは、 システムの復元ポイントをリセットし、 Windows自動更新 、 Windowsセキュリティセンター 、 Windows Defender 、 Windowsエラー報告 などの多くのシステムサービスを無効にします 。 [52] 定義済みのウイルス対策、診断、またはシステムパッチツールのリストに一致するプロセスが監視され、終了します。 [53]また、システム リゾルバ DLLにメモリ内パッチが適用され 、ウイルス対策ソフトウェアベンダーとWindows Updateサービスに関連するホスト名の検索がブロックされます。 [42]
終了アクション
ウイルスの亜種Eは、感染したコンピュータを悪用した最初の亜種である。 [46] ウクライナにホストされているウェブサーバーから、2つの追加ペイロードをダウンロードしてインストールする。 [54]
症状
Conficker 感染の症状は次のとおりです。
応答
2009年2月12日、マイクロソフトはコンフィッカーに対抗するための業界団体の結成を発表しました。以来、非公式に「コンフィッカー・カバル」と呼ばれるこの団体には、 マイクロソフト 、 アフィリアス 、 ICANN 、ニュース ター 、 ベリサイン 、 中国インターネットネットワークインフォメーションセンター 、パブリックインターネットレジストリ、グローバルドメインズインターナショナル、M1Dグローバル、 アメリカオンライン 、 シマンテック 、 F-Secure 、ISC、 ジョージア工科大学 の研究者、 シャドウサーバー 財団、アーバーネットワークス、サポートインテリジェンスなどが参加しています。 [6] [31] [61]
マイクロソフトより
2009年2月13日、マイクロソフトは、 コンフィッカーの作成および配布に関与した人物の逮捕と有罪判決につながる情報に対し、25万 ドルの報奨金を提供すると発表した。 [62]
レジストリから
ICANNは、ウイルスのドメインジェネレーターの影響を受ける
すべての TLD レジストリに対し、ドメインの移転と登録を予防的に禁止するよう求めました。措置を講じたレジストリは以下のとおりです。
2009年4月中旬までに、Conficker Aによって生成されたすべてのドメイン名はロックされるか、事前に登録され、更新メカニズムが無効になりました。 [68]
起源
ワーキンググループのメンバーは2009年の ブラックハットブリーフィング で、 ウクライナが ウイルスの起源である可能性が高いと述べたが、ウイルスの作者に情報提供することを避けるため、ウイルス内部の技術的な詳細を明らかにすることを拒否した。 [69] コンフィッカーの初期亜種は、ウクライナのIPアドレスやウクライナのキーボードレイアウトを持つシステムには感染しなかった。 [6] コンフィッカーEのペイロードはウクライナのホストからダウンロードされた。 [54]
2015年、コンフィッカーを初めて検出しリバースエンジニアリングしたフィル・ポラス、ヴィノド・イェグネスワラン、ハッサン・サイディは、米国政府の機密扱いで査読付きのサイバーセキュリティ出版物「 Journal of Sensitive Cyber Research and Engineering」 に、このマルウェアの出所をウクライナのサイバー犯罪者グループに特定したと記した。ポラス らは、 コンフィッカーが想定よりもはるかに広範囲に拡散したため、犯罪者たちはコンフィッカーを放棄したと考えている。これは、コンフィッカーを利用しようとすると、世界中の法執行機関から過剰な注目を集めることになるという理由からだ。この説明はサイバーセキュリティ分野で広く受け入れられている。 [16]
2011年、ウクライナ警察はFBIと協力し、コンフィッカーに関連して3人のウクライナ人を逮捕したが、彼らが起訴または有罪判決を受けた記録はない。スウェーデン人のミカエル・サルナートは、米国で有罪を認めた後、懲役48ヶ月の判決を受けた。 [16]
除去と検出
システムが稼働している限り、ウイルスファイルは削除できないようにロックされるため、手動または自動削除は起動プロセス中、または外部システムをインストールした状態で実行する必要があります。既存のバックアップコピーを削除することは重要なステップです。
マイクロソフトはウイルスの削除ガイドを公開し、 Windowsの悪意のあるソフトウェアの削除ツール [70] の最新リリースを使用してウイルスを削除し、その後、再感染を防ぐためにパッチを適用することを推奨しています。 [71] Windowsの新しいバージョンはConfickerの影響を受けません。 [16]
サードパーティ製ソフトウェア
多くのサードパーティ製ウイルス対策ソフトウェアベンダーは、自社製品に検出機能のアップデートをリリースし、このワームを駆除できると主張しています。このマルウェアの進化過程は、一般的な駆除ソフトウェアにある程度適応していることを示しているため、一部のソフトウェアは一部の亜種を削除、あるいは少なくとも無効化する可能性がありますが、他の亜種はアクティブなまま、あるいはさらに悪いことに、駆除ソフトウェアに誤検知を通知し、次回の再起動時に再びアクティブになる可能性があります。
自動リモート検出
2009年3月27日、 ハニーネットプロジェクトのフェリックス・レーダーとティルマン・ヴェルナーは 、 コンフィッカーに感染したホストはリモートスキャンで検出可能なシグネチャを持つことを発見した。 [39] ウイルスの亜種DとEで使用されるピアツーピアコマンドプロトコルはその後部分的にリバースエンジニアリングされ 、 研究 者はウイルスネットワークのコマンドパケットを模倣し、感染したコンピュータを大量に特定できるようになった。 [72] [73]
多数の ネットワークスキャンアプリケーション のシグネチャアップデートが利用可能になりました。 [74] [75]
また、ブロードキャスト ドメインを スニッフィングし て繰り返し ARP 要求を検出することで、パッシブ モードでも検出できます 。
米国CERT
米国 コンピュータ緊急事態対策チーム (US-CERT)は、 ウイルスの亜種Bがリムーバブルメディアを介して拡散するのを防ぐため、 AutoRunを無効にすることを推奨しています。Microsoftのナレッジベース記事KB967715が公開される前 [76] 、 US-CERTはMicrosoftのAutoRun無効化に関するガイドラインは「完全には効果的ではない」と述べ、より効果的に無効化するための回避策を提供していました。 [77] US-CERTはまた、Confickerに感染したホストを検出するためのネットワークベースのツールを連邦政府機関および州政府機関に提供しています。 [78]
参照
参考文献
^ 「Win32/Confickerワームに関するウイルス警告」 Microsoft 。
^ 「Confickerコンピュータワームから身を守る」、Microsoft、2009年4月9日、2009年6月27日時点のオリジナルよりアーカイブ、 2009年 4月28日 閲覧。
^ BetaFred (2023年6月8日). 「Microsoft セキュリティ情報 MS08-067 – 緊急」. learn.microsoft.com . 2023年 9月7日 閲覧 。
^ “CVE – CVE-2008-4250”. cve.mitre.org . 2023年 9月7日 閲覧 。
^ Markoff, John (2009年8月26日). 「専門家の予想に反して、不正なコンピュータコードは依然として潜んでいる」 ニューヨーク・タイムズ . 2017年5月18日時点のオリジナルよりアーカイブ。 2009年 8月27日 閲覧 。
^ abcd Bowden, Mark (2010年6月), The Enemy Within, The Atlantic , 2012年2月28日時点のオリジナルよりアーカイブ。 2010年 5月15日 閲覧。
^ Markoff, John (2009年1月22日). 「Worm Infects Millions of Computers Worldwide」. The New York Times . 2020年2月25日時点のオリジナルよりアーカイブ。 2009年 4月23日 閲覧 。
^ McMillan, Robert (2009年4月15日)、「Experts bicker over Conficker numbers」、 Techworld 、 IDG 、2009年4月16日時点のオリジナルよりアーカイブ 、 2009年 4月23日閲覧。
^ 「ワーム攻撃コードの終息は近い」BBCニュース、2009年1月20日。2009年1月16日時点のオリジナルよりアーカイブ 。 2009年 1月16日 閲覧。
^ Sullivan, Sean (2009年1月16日). 「Preemptive Blocklist and More Downadup Numbers」. F-Secure . 2009年3月2日時点のオリジナルよりアーカイブ 。 2009年 1月16日 閲覧。
^ Neild, Barry (2009年1月16日)、Downadup Worm exposes millions of PCs to hijack、CNN、2009年1月21日時点のオリジナルよりアーカイブ、 2009年 1月18日 閲覧。
^ ウイルスが1500万台のPCを襲う、 UPI 、2009年1月26日、2009年4月2日時点のオリジナルよりアーカイブ、 2009年 3月25日 閲覧。
^ Microsoft セキュリティインテリジェンスレポート: 第 11 巻 (PDF) 、Microsoft、2011 年、 2011 年 10 月 18 日のオリジナルからアーカイブ (PDF) 、 2011 年 11 月 1 日 に取得
^ Microsoft セキュリティインテリジェンスレポート: 第 10 巻 (PDF) 、Microsoft、2010 年、 2011 年 10 月 6 日のオリジナルからアーカイブ (PDF) 、 2011 年 11 月 1 日 取得
^ Opening up a can of worms: Why won't Conficker just die, die, die?、 ZDNet 、2015年6月10日、2017年1月18日時点のオリジナルよりアーカイブ。 2017年 1月17日 閲覧。
^ abcd Bowden, Mark (2019年6月29日). 「インターネットを食い尽くしたワーム」. ニューヨーク・タイムズ . 2019年6月30日時点のオリジナルよりアーカイブ。 2019年 6月30日 閲覧 。
^ Grigonis, Richard (2009年2月13日)、Microsoft's US$5 million Reward for the Conficker Worm Creators、IP Communications、2009年2月16日時点のオリジナルよりアーカイブ、 2009年 4月1日 閲覧。
^ Phillips, Joshua, Malware Protection Center – Entry: Worm:Win32/Conficker.A, Microsoft 、2009年6月18日時点のオリジナルよりアーカイブ、 2009年 4月1日 閲覧。
^ Leffall, Jabulani (2009年1月15日). 「Confickerワーム、依然としてWindowsシステムに大混乱」. Government Computer News. 2009年2月20日時点のオリジナルよりアーカイブ 。 2009年 3月29日 閲覧。
^ Microsoft セキュリティ情報 MS08-067 – 緊急; サーバーサービスの脆弱性によりリモートでコードが実行される可能性がある (958644)、Microsoft Corporation、2010年4月9日のオリジナルからアーカイブ、 2009年 4月15日 取得
^ Leyden, John (2009年1月19日)、Three in 10 Windows PCs still vulnerable to Conficker exploit、The Register、2009年4月1日時点のオリジナルよりアーカイブ、 2009年 1月20日 閲覧。
^ abcd Nahorney, Ben; Park, John (2009年3月13日)、「Propagation by AutoPlay」 (PDF) 、 The Downadup Codex 、 Symantec 、32ページ、 2015年9月24日時点のオリジナルよりアーカイブ (PDF) 、 2009年 4月1日 取得
^ Willsher, Kim (2009年2月7日)、「French fighter planes grounded by computer worm」、 The Daily Telegraph 、ロンドン、2009年3月10日時点のオリジナルよりアーカイブ 、 2009年 4月1日閲覧。
^ Williams, Chris (2009年1月20日), MoDネットワークは2週間後もマルウェアに悩まされている、The Register、2009年4月2日時点のオリジナルよりアーカイブ、 2009年 1月20日 閲覧。
^ Williams, Chris (2009年1月20日), Conficker seizes city's hospital network, The Register, 2009年4月2日時点のオリジナルよりアーカイブ, 2009年 1月20日 閲覧
^ Conficker-Wurm infiziert hunderte Bundeswehr-Rechner (ドイツ語)、PC Professionell、2009 年 2 月 16 日、2009 年 3 月 21 日のオリジナルからアーカイブ 、 2009 年 4 月 1 日に取得
^ Leyden, John (2009年7月1日). 「コンフィッカー、マンチェスターを去って交通違反切符を発行できなくなった」 The Register . 2017年8月10日時点のオリジナルよりアーカイブ。 2017年 8月10日 閲覧 。
^ Leyden, John (2009年3月27日), Leaked memo says Conficker pwns Parliament, The Register, 2021年12月17日時点のオリジナルよりアーカイブ, 2009年 3月29日 閲覧
^ 「Confickerウイルスがマンチェスター警察のコンピューターを攻撃」BBCニュース、2010年2月2日。2021年12月17日時点のオリジナルよりアーカイブ 。 2010年 2月2日 閲覧。
^ Nahorney, Ben; Park, John (2009年3月13日)、「Propagation by AutoPlay」 (PDF) 、 The Downadup Codex 、 Symantec 、p. 2、 2015年9月24日時点のオリジナルよりアーカイブ (PDF) 、 2009年 4月1日 閲覧。
^ ab Markoff, John (2009年3月19日)、「Computer Experts Unite to Hunt Worm」、 The New York Times 、2016年12月4日時点のオリジナルよりアーカイブ、 2009年 3月29日 閲覧。
^ abcdefghi Phillip Porras ; Hassen Saidi; Vinod Yegneswaran (2009年3月19日)、「Confickerの分析」、SRI International、2009年2月14日時点のオリジナルよりアーカイブ、 2009年 3月29日 閲覧。
^ ab Tiu, Vincent (2009年3月27日)、Microsoft Malware Protection Center: Worm:Win32/Conficker.Dに関する情報、 Microsoft 、2009年3月31日時点のオリジナルよりアーカイブ、 2009年 3月30日 取得
^ Macalintal, Ivan; Cepe, Joseph; Ferguson, Paul (2009年4月7日)、「DOWNAD/Conficker Watch: New Variant in The Mix?」、 トレンドマイクロ 、2010年1月31日時点のオリジナルよりアーカイブ。 2009年 4月7日 閲覧。
^ abcd Park, John (2009年3月27日)、W32.Downadup.C Pseudo-Random Domain Name Generation、 Symantec 、2018年3月16日時点のオリジナルよりアーカイブ、 2009年 4月1日 取得
^ abcd Nahorney, Ben (2009年4月21日). 「Connecting The Dots: Downadup/Conficker Variants」. Symantec . 2009年12月14日時点のオリジナルよりアーカイブ 。 2009年 4月25日 閲覧。
^ ab Chien, Eric (2009年2月18日)、Downadup: Locking Itself Out、 Symantec 、2012年12月17日時点のオリジナルよりアーカイブ、 2009年 4月3日 閲覧。
^ abc Chien, Eric (2009年1月19日)、Downadup: Peer-to-Peer Payload Distribution、 Symantec 、2012年12月17日時点のオリジナルよりアーカイブ 、 2009年 4月1日取得
^ abcde Leder, Felix; Werner, Tillmann (2009年4月7日) Know Your Enemy: Containing Conficker (PDF) 、HoneyNet Project、 2010年6月12日時点の オリジナル (PDF)からアーカイブ、 2009年 4月13日 閲覧。
^ abc W32.Downadup.C Bolsters P2P、 Symantec 、2009年3月20日、2012年12月17日時点のオリジナルよりアーカイブ 、 2009年 4月1日閲覧。
^ abc Leung, Ka Chun; Kiernan, Sean (2009年4月6日), W32.Downadup.C Technical Details、2009年4月2日時点のオリジナルよりアーカイブ。 2009年 4月10日 閲覧。
^ abcdef Porras, Phillip; Saidi, Hassen; Yegneswaran, Vinod (2009年3月19日)、「Conficker Cの分析(草稿)」、SRI International、2009年2月14日時点のオリジナルよりアーカイブ、 2009年 3月29日 閲覧。
^ ab Fitzgerald, Patrick (2009年4月9日), W32.Downadup.E—Back to Basics, Symantec 、2012年12月17日時点のオリジナルよりアーカイブ、 2009年 4月10日 閲覧。
^ Putnam, Aaron, Virus Encyclopedia: Worm:Win32/Conficker.E, Microsoft 、2016年11月18日時点のオリジナルよりアーカイブ。 2015年 2月15日 閲覧。
^ Nahorney, Ben; Park, John (2009年4月21日)、「Connecting The Dots: Downadup/Conficker Variants」 (PDF) 、 The Downadup Codex (2.0 ed.)、 Symantec 、p. 47、 2014年3月12日時点のオリジナルより アーカイブ (PDF) 、 2009年 6月19日 閲覧。
^ ab Keizer, Gregg (2009年4月9日)、Conficker cashes in, installs spam bots and scareware、 Computerworld 、2009年4月17日時点のオリジナルよりアーカイブ 、 2009年 4月10日閲覧。
^ Leung, Kachun; Liu, Yana; Kiernan, Sean (2009年4月10日)、W32.Downadup.E Technical Details、 Symantec 、2009年4月16日時点のオリジナルよりアーカイブ、 2009年 4月10日 閲覧。
^ Cve-2008-4250、 共通脆弱性および露出 、 国土安全保障省 、2008年6月4日、2013年1月13日時点のオリジナルよりアーカイブ、 2009年 3月29日 閲覧。
^ 「Confickerワームが使用するパスワード」Sophos. 2009年1月21日時点のオリジナルよりアーカイブ 。 2009年 1月16日 閲覧。
^ Robertson, Andrew (2009年2月12日)、Microsoft Collaborates With Industry to Disrupt Conficker Worm、 ICANN 、2009年3月19日時点のオリジナルよりアーカイブ 、 2009年 4月1日閲覧。
^ Leder, Felix; Werner, Tillmann (2009年4月2日)、「Containing Conficker」、Institute of Computer Science, University of Bonn 、2009年4月3日時点のオリジナルよりアーカイブ、 2009年 4月3日 閲覧。
^ Win32/Conficker.C、 CA 、2009年3月11日、2009年3月29日時点のオリジナルよりアーカイブ。 2009年 3月29日 閲覧。
^ マルウェア対策センター – エントリ: Worm:Win32/Conficker.D、Microsoft、2009年6月2日時点のオリジナルよりアーカイブ、 2009年 3月30日 閲覧。
^ ab Krebs, Brian (2009年4月10日)、「Conficker Worm Awakens, Downloads Rogue Anti-virus Software」、 ワシントン・ポスト 、2011年5月15日時点のオリジナルよりアーカイブ、 2009年 4月25日 閲覧。
^ O'Murchu, Liam (2008年12月23日)、W32.Waledac Technical Details、 Symantec 、2009年4月22日時点のオリジナルよりアーカイブ 、 2009年 4月10日閲覧。
^ Higgins, Kelly Jackson (2009年1月14日)、Storm Botnet Makes A Comeback、DarkReading、2009年2月4日時点のオリジナルよりアーカイブ 、 2009年 4月11日閲覧。
^ Coogan, Peter (2009年1月23日) Waledac – Guess which one is for you?、 Symantec 、2012年12月17日時点のオリジナルよりアーカイブ、 2009年 4月11日 閲覧。
^ Gostev, Aleks (2009年4月9日) The neverending story、 Kaspersky Lab 、2010年2月5日時点のオリジナルよりアーカイブ、 2009年 4月13日 閲覧。
^ 「Win32/Conficker.Bワームに関するウイルス警告」Microsoft、2009年1月15日。2009年1月22日時点のオリジナルよりアーカイブ。 2009年 1月22日 閲覧 。
^ “Virusencyclopedie: Worm:Win32/Conficker.B”. Microsoft . 2017年5月18日時点のオリジナルよりアーカイブ 。 2009年 8月3日 閲覧。
^ O'Donnell, Adam (2009年2月12日)、MicrosoftがConficker対策に業界提携と25万ドルの報奨金を発表、ZDNet、2009年3月19日時点のオリジナルよりアーカイブ 、 2009年 4月1日閲覧。
^ MicrosoftがConfickerワームの撲滅に業界と協力(MicrosoftはConfickerの逮捕と有罪判決に25万ドルの報奨金を提供)、 Microsoft 、2009年2月12日、2009年2月15日時点のオリジナルよりアーカイブ、 2009年 9月22日 閲覧。
^ NIC Chile participa en esfuerzo mundial en contra del gusano Conficker (スペイン語)、NIC Chile、2009 年 3 月 31 日、2009 年 4 月 8 日のオリジナルからアーカイブ 、 2009 年 3 月 31 日に取得
^ CIRA、Conficker C対策で国際パートナーと協力、 CIRA 、2009年3月24日、2009年4月29日時点のオリジナルよりアーカイブ、 2009年 3月31日 閲覧。
^ NIC とパナマの共同研究、エスフエルソ ムンディアル、グサノ コンフィッカーの反対。 (スペイン語)、NIC-パナマ、2009 年 3 月 27 日、オリジナルから 2011 年 7 月 27 日にアーカイブ 、 2009 年 3 月 27 日に取得
^ D'Alessandro, Marco (2009年3月30日)、SWITCH taking action to protect against the Conficker computer worm、 SWITCH 、2009年4月2日時点のオリジナルよりアーカイブ 、 2009年 4月1日閲覧。
^ Bartosiewicz、Andrzej (2009 年 3 月 31 日)、Jak działa Conficker? (ポーランド語)、Webhosting.pl、2011 年 7 月 25 日にオリジナルからアーカイブ 、 2009 年 3 月 31 日に取得
^ Maniscalchi, Jago (2009年6月7日)、Conficker.A DNS Rendezvous Analysis、Digital Threat、2009年8月16日時点のオリジナルよりアーカイブ 、 2009年 6月26日閲覧。
^ Greene, Tim (2009年7月31日)、ConfickerのトークがBlack Hatでサニタイズされ調査を保護、 Network World 、2010年1月27日時点のオリジナルよりアーカイブ、 2009年 12月28日 閲覧。
^ 悪意のあるソフトウェアの削除ツール、 Microsoft 、2005年1月11日、2012年11月7日時点のオリジナルよりアーカイブ、 2009年 3月29日 閲覧。
^ 「Confickerコンピュータワームから身を守る」、 Microsoft 、2009年3月27日、2009年4月3日時点のオリジナルよりアーカイブ、 2009年 3月30日 閲覧。
^ Bowes, Ron (2009年4月21日) Scanning for Conficker's peer to peer、SkullSecurity、2009年4月24日時点のオリジナルよりアーカイブ、 2009年 4月25日 閲覧。
^ W32.Downadup P2P Scanner Script for Nmap、 Symantec 、2009年4月22日、2012年12月17日時点のオリジナルよりアーカイブ 、 2009年 4月25日閲覧。
^ Bowes, Ronald (2009年3月30日)、「NmapによるConfickerのスキャン」、SkullSecurity、2009年4月2日時点のオリジナルよりアーカイブ、 2009年 3月31日 閲覧。
^ Asadoorian, Paul (2009年4月1日)、「Conficker検出プラグインがリリースされました」、Tenable Security、2010年9月26日時点のオリジナルよりアーカイブ、 2009年 4月2日 閲覧。
^ 「Windowsで自動実行機能を無効にする方法」 Microsoft 、2009年3月27日。2015年3月3日時点のオリジナルよりアーカイブ。 2009年 4月15日 閲覧 。
^ テクニカルサイバーセキュリティアラート TA09-020A: Microsoft Windows Does Not Disable AutoRun Properly、 US-CERT 、2009年1月29日、2009年2月24日時点のオリジナルよりアーカイブ、 2009年 2月16日 取得
^ DHS Releases Conficker/Downadup Computer Worm Detection Tool、 国土安全保障省 、2009年3月30日、2012年8月5日時点のオリジナルよりアーカイブ 、 2009年 4月1日閲覧。
外部リンク
Confickerワーキンググループ
Confickerワーキンググループ -- 学んだ教訓
Conficker 視力検査表
ワーム:最初のデジタル世界戦争、 マーク・ボウデン 著(2011年、 ISBN 0-8021-1983-2 ); 「インターネットを停止させる可能性のある『ワーム』」著者インタビュー(音声とトランスクリプト)、 NPR の Fresh Air 、2011 年 9 月 27 日。Bowden がAtlantic 誌の記事「The Enemy Within」(2010 年 6 月)で予備的に取り上げています 。