Q1.Kido とは何でしょうか? ローカルネットワークおよびリムーバブルメディアを通じて拡散するワームとして Kido が最初に検知されたのは、2008 年 11 月のことです。Kidoの最新バージョンは、自分自身で拡散する能力を持ちませんが、これまでの亜種と同様に自分自身をアップデートする機能を備えています。 Kido は、感染したコンピュータを利用して強力なボットネットを作り上げてきました。また、4 月 1 日に自分自身をアップデートするようにプログラムされています。さらに、Kido の最新バージョンは、ランダムに50,...
Q1. Kido とは何でしょうか?
ローカルネットワークおよびリムーバブルメディアを通じて拡散するワームとして Kido が最初に検知されたのは、2008 年 11 月のことです。Kidoの最新バージョンは、自分自身で拡散する能力を持ちませんが、これまでの亜種と同様に自分自身をアップデートする機能を備えています。
Kido は、感染したコンピュータを利用して強力なボットネットを作り上げてきました。また、4 月 1 日に自分自身をアップデートするようにプログラムされています。さらに、Kido の最新バージョンは、ランダムに50,000個のドメイン名を生成し、そのうちから500個を選び出して自分自身のアップデートに利用するように設計されています。
Kido は、非常に高度な技術を備えています。常に変動するアドレスから自分自身の更新をダウンロードする技術を備えるだけでなく、追加のダウンロード元として P2P ネットワークを使用する、コマンドアンドコントロールセンターからの指令を妨げられないように強力な暗号化を使用する、アンチウイルス製品の更新を妨害する、などの機能を持っています。
Kido ボットネットが作成された理由は何か、将来的にこのボットネットがどのように利用されるのか、現在のところ明らかになっていません。
Q2. Kido がもたらす脅威とは?
Kido に感染したコンピュータで構成される巨大なボットネットは、感染コンピュータからの機密データ窃取、スパムメールの大量配信などを目的とした DDos 攻撃を、インターネットリソースに対して大量に仕掛ける可能性があります。世界中で 500万~ 600万台のコンピュータがKido による感染を受けたと見られています。
Kido は、まずローカルネットワークおよびリムーバブルメディアを通じて拡散します。具体的にいえば、Microsoft が2008年10月にパッチを公開したMS08-067の脆弱性が悪用されます。ただし、Kido の拡散がピークを迎えた1月には、パッチを適用していないコンピュータが数多く存在していたと考えられます。
*Kido の感染手法については、以下をご覧ください:
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=21782733
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=21782749
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=21782790
Q3. Kido の感染を防ぐには?
Kaspersky Lab の製品は、全バージョンの Kido からシステムを保護することが可能です。製品の自動更新を有効にし (デフォルトでは有効になっています)、完全スキャンを行ってください。Kaspersky Internet Securityではパッチの適用されていないコンピュータも保護されますが、この場合でも同様に、最新の Windows 更新プログラム (特にMS08-067) が適用されているかどうか確認してください。
Q4. 自分のコンピュータが感染しているかどうか確認するには?
感染したコンピュータが LAN 内に1台でも存在すると、そのコンピュータからネットワークに対する攻撃が原因で、ネットワークのトラフィック量が増大します。また、アンチウイルス製品のファイアウォールが有効になっていれば、Intrusion.Win.NETAPI.buffer-overflow.exploit 攻撃がレポートされます。
お使いのコンピュータが感染した疑いのある場合は、ブラウザを開いて普段お使いの検索エンジンに接続し、検索エンジンのページから www.kaspersky.com または www.microsoft.com が開けるかどうかを試して ください。そのページを開けない場合は、Kido によって閲覧がブロックされている可能性があります。Kido によって遮断されるアドレスの一覧については、以下をご覧ください:
http://www.viruslistjp.com/viruses/encyclopedia/?virusid=21782725
Q5. ネットワーク管理者をしています。Kido による感染を防止および駆除するには?
このマルウェアは、削除用ツール KKiller.exe を使用して削除可能です。ワークステーションやネットワークサーバへの感染を予防するために、以下の措置をとってください。
- MS08-067、MS08-068、MS09-001 の脆弱性に対応するパッチを Microsoft から入手してインストールする
- 強力な管理用パスワードを使用する - アルファベットの大文字と小文字、数字、記号を組み合わせた最低 6 文字のパスワードを指定してください
- すべてのリムーバブルメディアについて、自動実行を無効にする
- タスクスケジューラを無効にする
KKiller.exe を使用して Kido を削除する場合は、感染したコンピュータのそれぞ れで KKiller.exe を手動で実行する必要があります。
Q6. ホームユーザの場合、Kido による感染を駆除するには?
KKiller_v3.4.1.zip をダウンロードし、感染したコンピュータ上の別のフォルダに解凍します。KKiller.exe を実行します。スキャンが終了しても、コマンドプロンプト画面は開いたままになっています。画面を閉じるには、任意のキーを押してください。
*Kido への対処方法については、Kaspersky Lab テクニカルサポートもご覧 ください。
