Internet Watch logo
記事検索
最新ニュース

Windowsの重大な脆弱性を攻撃するウイルスを危険度を上げて警告

〜感染するとDoS攻撃を仕掛け、外部からも操作可能に

MSBLASTを警告するトレンドマイクロのサイト
 トレンドマイクロやシマンテック、NACなどのウイルス対策ベンダー各社は12日、7月に発見されたWindowsの重大な脆弱性を利用して感染を広げるワーム型ウイルス「W32.Blaster.Worm」(シマンテックでの名称。以下Blaster)を警告した。各社は危険度“中”または“3”として注意を促している。

 Blasterウイルスは、約1カ月前の7月17日に発見されたWindowsの脆弱性「MS03-026」を利用して感染を広げるトロイの木馬型ウイルスだ。シマンテックは「W32.Blaster.Worm」、トレンドマイクロでは「WORM_MSBLAST.A」、NACは「W32/Lovsan.worm」とそれぞれ名称が異なるため注意が必要だ。感染すると、外部にDoS攻撃を仕掛けるほか、リモートシェルを起動して外部からのコマンドを実行できるようにする。

 実際に感染するとレジストリを改変し、自身が起動されるようにする。次にネットワーク接続の有無をチェックし、ネットワーク接続が確認できなかった場合には20秒間隔でネットワーク接続の確認を行なう。ネットワーク接続が検出された場合には、DoS攻撃と感染拡大の活動を行なう。

 Blasterは自身のTFTPサーバー機能を持っており、感染元PCのポート69番を利用してTFTPサーバーとして機能する。その後、ランダムなIPアドレスのポート135番にアクセスし、Windowsの脆弱性「MS03-026」を攻撃する。この攻撃対象となったマシンに脆弱性がある場合は、ウイルス自身がフルアクセス権限で対象PCのファイルを実行できるようになる。

 Blasterウイルスが権限を取得すると、まず感染先PCのポート4444番を使用したリモートシェルを起動し、外部からのコマンドを実行できるように設定する。続いてリモートシェルにコマンドを送信し、自身のコピーである「MSBLAST.EXE」を感染先PCにダウンロードする。そして、リモートシェルコマンドを送信し、「MSBLAST.EXE」を実行する。これにより、感染先PCにおいてもウイルス感染行動が開始される。

 また、BlasterウイルスはDoS攻撃も行なう。システムが9月〜12月の場合と、1月〜8月で16日〜31日の場合には“windowsupdate.com”に対してDoS攻撃を行なう。ただし、このウイルスが利用している脆弱性はWindows XP/2000/NT/2003 Serverにしか存在しないため、Windows Me/98/95には影響がない。

 感染しているか確認したい場合には、ウイルス対策ソフトでスキャンするか、もしくはWindowsのシステムディレクトリに「MSBLAST.EXE」が作成されているか確認すればよい。感染していた場合には、検出されたファイルをすべて削除し、レジストリを改変する必要がある。トレンドマイクロやシマンテックでは、ウイルス駆除のためのツールを提供しているので、それらを用いてもよい。また、このウイルスはWindowsの脆弱性を利用したものなので、Windows Updateなどで「MS03-026」の修正プログラムをあてる必要がある。


【13:47追記】
 トレンドマイクロでは13時40分時点で「WORM_MSBLAST.A」の国内感染を68件確認しており、感染力が高いため、危険度を引き上げたという。


関連情報

URL
  トレンドマイクロ
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
  シマンテック
  http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.html
  NAC
  http://www.nai.com/japan/security/virL.asp?v=W32/Lovsan.worm
  関連記事:WindowsのRPCに任意のコードを実行されてしまう深刻な脆弱性
  http://internet.watch.impress.co.jp/www/article/2003/0717/windows.htm

CERT/CC、Windowsの重大な脆弱性に対する攻撃を警告(2003/08/01)
2週間前に発見されたばかりのWindowsの重大な脆弱性を攻撃するウイルス(2003/08/04)
爆発的流行の兆し? Blasterウイルス対策マニュアル(2003/08/13)
Windowsの脆弱性を攻撃するウイルス、国内で流行中〜対策リンク集(2003/08/12)


( 大津 心 )
2003/08/12 12:12

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.