★阿修羅♪ 現在地 HOME > 掲示板 > IT1 > 370.html
 ★阿修羅♪
次へ 前へ
MSBlastを停止させパッチを当てる新ワーム 【良心的な挙動のワーム?(^^;】
http://www.asyura.com/0306/it01/msg/370.html
投稿者 クエスチョン 日時 2003 年 8 月 19 日 22:37:35:WmYnAkBebEg4M

(回答先: 【MSブラスト特集】対 Blaster ワーム登場、善玉ワームではないとセキュリティ各社 投稿者 【internet.com記事】 日時 2003 年 8 月 19 日 22:00:22)

MSBlastを停止させパッチを当てる新ワーム 【良心的な挙動のワーム?(^^;】
http://www.zdnet.co.jp/enterprise/0308/19/epn02.html

Windows RPC DCOMのセキュリティホールを悪用する新たなワームが登場し
た。といってもこのワームは、MSBlastを停止させ、脆弱性修正のための
パッチをダウンロードしようとする。


 8月18日午後より、ネットワーク上で大量のICMP Echo Reqestが観測さ
れている。警察庁の警告やウイルス対策ソフトウェア企業の情報を総合す
ると、この原因は、Windows RPC DCOMのセキュリティホール(MS03-026)
に加え、Windows 2000のコンポーネントに存在した別のセキュリティホー
ル(MS03-007)を悪用する新種のワーム(あるいはMSBlastの亜種)と見
られている。

 この新ワームの名称は、オリジナルのMSBlast以上にばらばらのようで、
8月19日午前3時時点ではまちまちに名付けられている。トレンドマイクロ
はこれをMSBlastの亜種とし「WORM_MSBLAST.D」と分類しているが、
Network Associatesは「W32/Lovsan.worm.d」とは異なる新ワーム
「W32/Nachi.worm」と呼んでいるし、Symantecは「W32.Welchia.Worm」、
F-Secureは「Welchi」といった具合だ。

 いずれにしてもこのワームは、8月18日の出現以来、急激にとまではい
かなくとも、警戒が必要な程度には拡散しつつある。しかもトレンドマイ
クロの情報によると、アジア地域、特に日本での感染数が多いことから、
適切な対処が求められる。

MSBlastを停止 この新ワームの挙動は共通している。この新ワームは
Windows RPC DCOMのセキュリティホールに加え、Windows 2000に存在した
別のセキュリティホールを悪用し、TCP 135番ポート経由で侵入を試みる。
侵入に成功すれば、Windowsのシステムフォルダの下に「DLLHOST.EXE」
(ファイルサイズは1万240バイト)という名称で自分自身をコピーする。

 その後ワームは、ランダムなIPアドレスに対し、92バイトの大きさの
ICMP Echo Reqestを――つまりpingを投げつける。ここで生成されるICMP
パケットが、尋常ではない量のトラフィックとして観測されたわけだ。

 もしもこのpingに対する返答があれば、感染元はTCP 135番ポートを通
じ、MS03-026の脆弱性を悪用してターゲットを攻撃する。この攻撃が成功
すると、MSBlastが用いるTCP 4444番ではなく、TCP 707番ポートを通じて
リモートシェルを実行させ、ターゲット上にワーム本体である
dllhost.exeをコピーさせる。

 ただ、このワームが違うのはここからだ。ワームはまず、ターゲットの
PC上でオリジナルのMSBlastが植えつける「Msblast.exe」が動作している
かどうかを確認し、もし動いていればそのプロセスを停止させる。さらに、
http://download.microsoft.com/download/以下の8つのURLにアクセスし
て、MS03-026のセキュリティホールを修正するためのパッチをダウンロー
ドし、適用させようとする。ご丁寧なことに、コンピュータの日付が2004年
1月1日になれば、自身を無効化する機能もあるという。

 しかし、いくらMSBlastを停止させ、正しいパッチを適用させようとす
るからといって、このワームも立派なワームの1つだ。今はなんら不審な
動作をしないとしても、今後、悪意ある目的に利用されないとも限らない。
また、ICMPトラフィックがネットワークに及ぼす影響も無視できない可能
性がある。

 したがってMSBlastへの対処と同様、駆除ツールやウイルス対策ソフト
によるブロックを行うとともに、自らの手によるパッチの適用と、企業フ
ァイアウォールおよびパーソナルファイアウォールソフトなどを用いての
ポートフィルタリングが重要だ。

関連記事
特集:Windowsを危険にさらすRPCのセキュリティホール
当初の報告よりもずっと深刻だったWindows 2000のセキュリティホール

関連リンク
インターネット セキュリティ システムズ
トレンドマイクロ:WORM_MSBLAST.D
Network Associates:W32/Nachi.worm
Symantec:W32.Welchia.Worm
F-Secure:Welchi
アンラボ:Win32/Welchia.worm

[高橋睦美,ZDNet/JAPAN]

 次へ  前へ

IT1掲示板へ


フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。