Internet Watch logo
記事検索
最新ニュース

シマンテック、LSASSの脆弱性を悪用する「Korgo.F」の危険度を“3”に


 Symantec Security Responseは2日、LSASSの脆弱性を悪用するウイルス「W32.Korgo.F」(Korgo.F)の危険度を“2”から“3”に引き上げた。シマンテックではユーザーからの報告件数が増加したためとしており、感染力、ダメージとも“中”ながら、被害は拡大中だという。同社では駆除ツールも提供している。

 Korgo.Fは、ネットワークを通じて感染するタイプのウイルスで、TCP 445番ポートでWindows LSASSのバッファオーバーランの脆弱性「MS04-011」を悪用し、TCP 113番ポートや3067番ポートにバックドアを開くのが特徴だ。また、これらTCPポート以外のランダムなポートにおいてもバックドアを開く可能性があるという。

 感染すると、「System Service Manager」「System Restore Service」「Windows Update Service」「Windows Security Manager」「avserve.exe」などの値をレジストリキー「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」から削除。続いて、「Update Service」の値を改変するなどの活動を行ない、TCP 113番ポートや3067番ポートなどにバックドアを開く。このほか、特定のIRCサーバーのTCPポート 6667番に接続を試みるとしている。

 対策としては、Windows Updateで「MS04-011」のセキュリティ修正プログラムを適用すればよい。感染の疑いがある場合は、ウイルス対策ソフトの定義ファイルを最新版に更新し、検査する必要がある。万一、感染した場合は、シマンテックの駆除ツールを利用することも有効だ。なお、警察庁でも「国内で感染が広がる恐れがある」として警告している。


関連情報

URL
  W32.Korgo.F(シマンテック)
  http://www.symantec.com/region/jp/sarcj/data/w/w32.korgo.f.html
  W32.Korgo.F 駆除ツール
  http://www.symantec.com/region/jp/sarcj/data/w/w32.korgo.f.removal.tool.html
  Korgoウイルスの発生について(@Police)
  http://www.cyberpolice.go.jp/important/2004/20040603_075434.html
  MS04-011
  http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp
  Windows Update
  http://windowsupdate.microsoft.com/

関連記事
ネットワークに接続しているだけで任意のコードを実行可能な脆弱性(2004/04/14)


( 鷹木 創 )
2004/06/03 13:06

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.