いつぞやのWORM_DOWNAD感染の話。例のMS08-067のやつだね。ちゃんとパッチあててね。毎月のパッチ運用がめんどいのは分かるけど、感染後の事態収集のほうがよほどコストかかるだろうにと思うんだが....どうなんだろう。

ウィルス感染したら業務回らんだろうし、下手したら何週間も業務が止まってしまうことだってある。あくまでパッチが優先でウィルススキャンソフトは保険。
で、本題なんだけれども技術的なお話。TrendMicroから駆除ツールが公開されていて、それを片っ端から実行していく。そしてパッチあて。

http://jp.trendmicro.com/jp/threat/extermination_tool/downad/

それで、一安心と思いきや、いまだに対象のマシンからオンライン検知で、定期的に「WORM_DOWNAD」が見つかるというメッセージが出るのでどういうことかというお話。

でまあ、ServerProtectのログを見てみるととある一定時間おきに発生しているようだ。推測として、

・駆除ツールでクリーンできずに内部にある別のプロセスがワームを定期的に作り出しているのか
・感染している別のマシンから定期的に本サーバにアクセスしワームを設置しているのか

まぁ、後者だろうな。DOWNADの詳細をTrendMicroのページにて確認してみた。

・ワーム活動（ネットワーク共有フォルダの利用）：
ワームは、感染したコンピュータの環境設定に関する情報を収集します。ワームは、ドメイン内に表示された特定のタイプのサーバを全てリストアップします。このようなサーバが確認されると、ワームは、ローカルおよびサーバのコンピュータのユーザをリストダウンします。
ワームはまず、サーバ内のユーザアカウントを収集するため、"NetUserEnum" API の機能を利用します。そしてワームは、以下のパスワードを用いて、強引にネットワークへの侵入を試みます。　

ほう、パッチがあたっていても、他に感染しているものがあれば管理共有経由でファイルを置かれるらしい。たぶん、これだな。じゃあ、どうやって感染源をつきとめるか。Windowsの監査ポリシーのログオン成功のイベントログを見てみた。ログオン成功のイベントログを見ればログイン元も確認できる。

このログインイベントの発生時間とオンラインスキャンでの検知時間が重なる部分を見てみたところ、あった。あった。おそらく、これが感染源だろう。そこでこの感染源を調べてみたところ案の定感染していたので駆除ツールを実行し駆除した。結果、見事にオンラインスキャンの検知がなくなった。

共有経由で入ってくるワームについては、Windowsのログイン監査ポリシーが使えそうだな。デフォルトではログインの失敗の監査は有効にされていないが、ログインの失敗も有効にしておくほうがエビデンス上いいね。

でもまずは、管理共有はOFFる、強固なパスワード設定するくらいの基本的なことが大事だね。