Conficker Groupがワーム460万を強力に評価

ワームは、最も密接に追跡され、戦いつつある研究者のグループが、 Confickerのサイズ。 Confickerワーキンググループによって編集されたデータによると、Confickerはわずか460万件もの一意のIPアドレスで検出されています。初期のAとBの亜種は、そのうちの340万のIPアドレスのシェアを占めており、最新のCの亜種は120万のアドレスにあります。

すべての亜種の感染数が最も多い国は中国

[その他の情報：Windows PCからマルウェアを削除する方法]

Confickerは10月からWindowsマシンに感染していますが、最近数週間で、新しいバージョンのConfickerが注目されています。 Conficker.Cは、命令を探す方法を更新し、停止することを非常に困難にしています。

Confickerは、過去週末、ユタ大学健康科学センターで800台近くのPCを感染させました。感染した親指ドライブを介してネットワークに侵入した可能性があるITスタッフは、 1つのPCにインストールすると、Confickerはパッチを当てていない他のWindowsマシンを広めることに非常に効果的です。

ワームに感染しているか疑問に思うユーザーは、SecureWorksによって開発されたこの簡単なテストを試すことができます。数週間前にOpenDNSとIBMのInternet Security Systemsグループは、ConfickerワームでPCの4％が攻撃を受けた可能性があると示唆していたが、ワーキンググループの分析によれば、これらの数値を公表することは、現実的なものではないでしょう」とThe Shadowserver Foundationの共同設立者でありワーキンググループのメンバーであるAndre DiMinoは述べています。彼は、PCの4％が感染しているとは思わない。現在のところ、事件を起こすのは難しい」と述べている。しかし、実際の感染数は460万人を超えるか、それよりも少なくなる可能性があるとディミノ氏は認めた。ワーキンググループの方法はIPアドレスを数えているため、複数のIPアドレスからログオンしたり、単一のIPアドレスの背後に隠れている企業の感染数を過大評価している消費者を過剰にカウントする可能性があります。

OpenDNS、IBM、彼らの見積もりにはさまざまな手法が使われていましたが、感染マシンは命令のために「コマンドと制御」サーバーでチェックインする必要があるという事実に頼っています。ワーキンググループは、感染マシンが使用するインターネット上のポイントで「sinkhole」サーバーを設定して指示をダウンロードすることで、そのデータを取得しました。彼らは、Confickerがこれらの命令を検索するために訪問するようにプログラムされたインターネットドメインを引き継ぐことによってこれを行なった。

ワーキンググループによって測定された感染の数は、ワームの以前の亜種の推定と一致する。 「AsとBsのすべてがCに変わったわけではありません」と彼は述べました。問題をさらに複雑にするために、先週Confickerの新しい亜種が発見されました。これは主にピアツーピア技術を使用して通信します。ワーキンググループのシンクホールサーバでは容易に測定できません。これは、同グループがピアツーピア・バリアントの広がりとして感染症を数える新しい方法を開発する必要があることを意味すると、DiMinoは述べている。

ワーキンググループのデータは、一目でIBMとはかなり異なるものの、 IBMのInternet Security Systems（ISS）の脅威対応マネージャー、Holly Stewart氏によると、驚くことではない。彼女は、ボットネットのサイズを修正することは「本当に難しい」と述べた。 「誰かが完璧な答えを持っているとは思わない」と彼女は語った。 「彼らは1つのデータポイントしか持っておらず、別のデータポイントを持っています。」

「本当の数字が何であるか私に尋ねると、わからない」と付け加えた。