トレンドマイクロは18日、週末に感染を広げたウイルス「Blaster」の亜種「Blaster.D」を危険度“中”として警告した。Blaster.Dは、Blasterが利用する脆弱性「MS03-026」用セキュリティパッチのダウンロードと適用を試みる点が特徴だ。感染対象となるOSは、Windows 2000/XP。
オリジナルのBlasterは、感染時にWindowsの脆弱性「MS03-026」を利用するが、Blaster.Dでは「MS03-026」に加えて「MS03-007」も利用する。また、Blasterは直接135番ポートに接続を試みるが、Blaster.Dは一度PINGでPCの存在を確認してから接続を試みる点が異なっている。
Blaster.Dに感染すると、Windowsのシステムフォルダの直下にある「wins」フォルダに、自身のコピーである「DLLHOST.EXE」とTFTPサーバー「SVCHOST.EXE」をコピーする。これらは、Windowsのシステムファイルにも同名のファイルが存在するので、混乱を招きやすい。次に、作成した2つのファイルをWindowsのサービスとして登録する。DLLHOST.EXEは「WINS Client」、SVCHOST.EXEは「Network Connection Sharing」の名前で登録される。これにより、Windows起動時にウイルス自身とTFTPサーバー機能が自動的に実行されることになる。
Blaster.Dは「MS03-026」と「MS03-007」という2種類の脆弱性を利用してシステムへの侵入を試みる。侵入すると、自身が存在するサブネット上のPCを検索し、対象IPアドレスに対してPINGリクエストを送信してPCの存在確認を行なう。PINGに応答があった場合、そのIPアドレスに対して2つの脆弱性を狙った攻撃を行ない、脆弱性があった場合には707番ポートを利用したリモートシェルを実行する。Blaster.Dはこのリモートシェルにコマンドを送信することによって、攻撃対象に自分自身をコピーし、感染を広げる。
Blaster.DがWindows XP上で起動した場合、Blaster.DはまずオリジナルBlasterのウイルスプログラムである「MSBLAST.EXE」というプロセスを探し出し、存在した場合には強制終了する。そして、レジストリを検索し、サービスパックなどが当たっているかどうか確認する。また、BlasterとBlaster.Dが利用する脆弱性「MS03-026」の修正パッチをダウンロード・適用し、再起動する。ただし、ダウンロードする修正プログラムは韓国語版や中国語版、英語版で、日本語版は含まれない。そのほかにもBlaster.Dは、2004年になると自身のサービスが停止するように作られている。
万が一感染の疑いがある場合には、ネットワークから切断するか、Safeモードで起動後、以下のレジストリキーを削除しなければならない。
場所:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch
場所:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
レジストリキー削除後、ウイルス対策プログラムで「WORM_MSBLAST.D」として検出したファイルをすべて削除し、Blaster.Dが利用するWindows脆弱性「MS03-026」と「MS03-007」の修正プログラムを適用すればよい。
トレンドマイクロによると、現在Blaster.Dの感染数は世界全体で223件、日本では116件が確認されているという。
|
|
「Blaster.D」の解説サイト
|
シマンテックは「W32.Welchia.Worm」と名付けている
|
関連情報
■URL
トレンドマイクロ「Blaster.D」
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D
シマンテック「W32.Welchia.Worm」
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html
・ シマンテック、「Blasterウイルス」セミナー実施、最新状況を報告(2003/08/18)
・ 爆発的流行の兆し? Blasterウイルス対策マニュアル(2003/08/13)
・ Windowsの重大な脆弱性を攻撃するウイルスを危険度を上げて警告(2003/08/12)
・ Windowsの脆弱性を攻撃するウイルス、国内で流行中~対策リンク集(2003/08/12)
( 大津 心 )
2003/08/19 13:13
- ページの先頭へ-
|