Internet Watch logo
記事検索
最新ニュース

日本のWebサーバーをハッキングするウイルス「Welchia.B」が登場

~12日には、国内の大手ECサイトが感染

実際に「Welchia.B」に感染したWebサイトの例
 シマンテックは12日、Windowsの複数の脆弱性を利用して感染を広げるウイルス「Welchia.B」を危険度“2”で警告した。このウイルスは感染すると、ウイルス「Mydoom」を駆除するほか、IISに対してハッキング行為を行なう点が特徴だ。

 Welchia.Bは、2003年8月に流行したウイルスWelchia.Aの亜種となるワーム型ウイルス。Welchia.Aが利用した、DCOM RPCの脆弱性「MS03-026」やWebDavの脆弱性「MS03-007」を攻撃するほか、新たにWorkstationサービスのバッファオーバーラン脆弱性「MS03-049」も利用するため、注意が必要だ。

 Welchia.Bに感染すると、OSが中国語版や韓国語版、英語版の場合、Windows UpdateのWebサイト上からMS03-026のセキュリティ修正プログラムをダウンロード・適用する。日本語OSの場合は、ダウンロードしない。その後、昨今流行したウイルス「Mydoom.A」と「Mydoom.B」が作成するファイル削除や、改変したレジストリの変更を試みる。

 そしてランダムなIPアドレスを対象に、MS03-026やMS03-007、MS03-049の脆弱性を悪用したデータを送信し、感染を試みる。また、感染先PCのコードぺージが日本語の場合、「Virtual Roots」や「IIS Help」フォルダから拡張子「.html」や「.htm」などのファイルを探し出し、次の文字列を含むHTMLファイルで上書きする。

LET HISTORY TELL FUTURE !

1931.9.18
1937.7.7
1937.12.13 300,000 !

1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso

1945.8.15
Let history tell future !

 これらの感染行動を実施したのち、2004年6月1日もしくは起動後180日間経過すると活動を停止するという。

 万が一感染してしまった場合には、ウイルス対策ソフトの定義ファイルを最新版にアップデートしたのちに「Welchia.B」として検出したファイルをすべて削除し、レジストリを修正しなければならない。ただし、Windows XP/Meを利用している場合には、「システムの復元オプション」を無効にしてから作業を行なう必要があるため、注意が必要だ。

 なお警察庁では、12日の夜までにWelchia.Bが感染時に攻撃する、TCP445番ポートへのトラフィックが増加していると警告している。


関連情報

URL
  Welchia.B
  http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.b.worm.html

関連記事
警察庁、TCP445番ポートへのトラフィック増加で注意呼びかけ(2004/02/13)
わざわざ修正パッチを当ててくれる“親切な”Blaster亜種が登場(2003/08/19)
件名「hi」や「test」などの新種ウイルス「Mydoom」に注意(2004/01/27)
Mydoomを“アップデート”し、SCOとMicrosoftを攻撃する亜種(2004/01/29)


( 大津 心 )
2004/02/13 20:10

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.