|
実際に「Welchia.B」に感染したWebサイトの例
|
シマンテックは12日、Windowsの複数の脆弱性を利用して感染を広げるウイルス「Welchia.B」を危険度“2”で警告した。このウイルスは感染すると、ウイルス「Mydoom」を駆除するほか、IISに対してハッキング行為を行なう点が特徴だ。
Welchia.Bは、2003年8月に流行したウイルスWelchia.Aの亜種となるワーム型ウイルス。Welchia.Aが利用した、DCOM RPCの脆弱性「MS03-026」やWebDavの脆弱性「MS03-007」を攻撃するほか、新たにWorkstationサービスのバッファオーバーラン脆弱性「MS03-049」も利用するため、注意が必要だ。
Welchia.Bに感染すると、OSが中国語版や韓国語版、英語版の場合、Windows UpdateのWebサイト上からMS03-026のセキュリティ修正プログラムをダウンロード・適用する。日本語OSの場合は、ダウンロードしない。その後、昨今流行したウイルス「Mydoom.A」と「Mydoom.B」が作成するファイル削除や、改変したレジストリの変更を試みる。
そしてランダムなIPアドレスを対象に、MS03-026やMS03-007、MS03-049の脆弱性を悪用したデータを送信し、感染を試みる。また、感染先PCのコードぺージが日本語の場合、「Virtual Roots」や「IIS Help」フォルダから拡張子「.html」や「.htm」などのファイルを探し出し、次の文字列を含むHTMLファイルで上書きする。
LET HISTORY TELL FUTURE !
1931.9.18
1937.7.7
1937.12.13 300,000 !
1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso
1945.8.15
Let history tell future !
これらの感染行動を実施したのち、2004年6月1日もしくは起動後180日間経過すると活動を停止するという。
万が一感染してしまった場合には、ウイルス対策ソフトの定義ファイルを最新版にアップデートしたのちに「Welchia.B」として検出したファイルをすべて削除し、レジストリを修正しなければならない。ただし、Windows XP/Meを利用している場合には、「システムの復元オプション」を無効にしてから作業を行なう必要があるため、注意が必要だ。
なお警察庁では、12日の夜までにWelchia.Bが感染時に攻撃する、TCP445番ポートへのトラフィックが増加していると警告している。
関連情報
■URL
Welchia.B
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.b.worm.html
■関連記事
・ 警察庁、TCP445番ポートへのトラフィック増加で注意呼びかけ(2004/02/13)
・ わざわざ修正パッチを当ててくれる“親切な”Blaster亜種が登場(2003/08/19)
・ 件名「hi」や「test」などの新種ウイルス「Mydoom」に注意(2004/01/27)
・ Mydoomを“アップデート”し、SCOとMicrosoftを攻撃する亜種(2004/01/29)
( 大津 心 )
2004/02/13 20:10
- ページの先頭へ-
|