警察庁は同庁のセキュリティ情報サイト「@police」にて、ウイルス「Blaster」の新しい亜種「Blaster.E」の感染活動に関する情報を入手したとして、必要な対策を取るように警告した。
Blaster.Eは、オリジナルであるウイルス「Blaster」とほぼ同じ活動をする亜種だ。米Symantecは28日(米国時間)に発見し、危険度“2”で警告している。なお、感染状況は“低”、ダメージ“中”、感染力“高”と評価されている。
Blaster.Eの感染活動はオリジナルと同様に、感染元PCのポート69番を利用してTFTPサーバーとして機能し、ランダムなIPアドレスのポート135番にアクセス、Windowsの脆弱性「MS03-026」を攻撃する。感染後にポート4444番を利用してリモートシェルを起動する点も同じだ。
ただし、DDoS攻撃の対象が「windowsupdate.com」から「kimble.org」に変更されているほか、自身がPC起動時に実行されるために変更するレジストリキーと追加する値が以下のように変更されている。
レジストリキー:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値:"windows automation"="mslaugh.exe"
また、ウイルスのプログラム内に含まれているものの、画面に表示されることの無い“内部メッセージ”が以下に変更されている。
I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and dont forget the promise for me B/DAY !!!!
感染を確認するためには、ウイルス対策ソフトでスキャンを行なう方法や、Blaster.Eが改変するレジストリキーを確認する方法、ファイル検索などで「mslaugh.exe」を検索する方法が考えられる。万が一感染していた場合には、ウイルス対策ソフトで検出されたファイルをすべて削除し、改変されたレジストリを修正する必要がある。
関連情報
■URL
@police
http://www.cyberpolice.go.jp/important/20030829_160207.html
シマンテックのウイルス情報
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.e.worm.html
・ 各セキュリティベンダー、Blasterウイルス対策CD-ROMを55,000枚用意(2003/08/28)
・ 爆発的流行の兆し? Blasterウイルス対策マニュアル(2003/08/13)
・ Windowsの重大な脆弱性を攻撃するウイルスを危険度を上げて警告(2003/08/12)
( 大津 心 )
2003/08/29 18:30
- ページの先頭へ-
|