Symantec Security Responseは2日、LSASSの脆弱性を悪用するウイルス「W32.Korgo.F」(Korgo.F)の危険度を“2”から“3”に引き上げた。シマンテックではユーザーからの報告件数が増加したためとしており、感染力、ダメージとも“中”ながら、被害は拡大中だという。同社では駆除ツールも提供している。
Korgo.Fは、ネットワークを通じて感染するタイプのウイルスで、TCP 445番ポートでWindows LSASSのバッファオーバーランの脆弱性「MS04-011」を悪用し、TCP 113番ポートや3067番ポートにバックドアを開くのが特徴だ。また、これらTCPポート以外のランダムなポートにおいてもバックドアを開く可能性があるという。
感染すると、「System Service Manager」「System Restore Service」「Windows Update Service」「Windows Security Manager」「avserve.exe」などの値をレジストリキー「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」から削除。続いて、「Update Service」の値を改変するなどの活動を行ない、TCP 113番ポートや3067番ポートなどにバックドアを開く。このほか、特定のIRCサーバーのTCPポート 6667番に接続を試みるとしている。
対策としては、Windows Updateで「MS04-011」のセキュリティ修正プログラムを適用すればよい。感染の疑いがある場合は、ウイルス対策ソフトの定義ファイルを最新版に更新し、検査する必要がある。万一、感染した場合は、シマンテックの駆除ツールを利用することも有効だ。なお、警察庁でも「国内で感染が広がる恐れがある」として警告している。
関連情報
■URL
W32.Korgo.F(シマンテック)
http://www.symantec.com/region/jp/sarcj/data/w/w32.korgo.f.html
W32.Korgo.F 駆除ツール
http://www.symantec.com/region/jp/sarcj/data/w/w32.korgo.f.removal.tool.html
Korgoウイルスの発生について(@Police)
http://www.cyberpolice.go.jp/important/2004/20040603_075434.html
MS04-011
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp
Windows Update
http://windowsupdate.microsoft.com/
■関連記事
・ ネットワークに接続しているだけで任意のコードを実行可能な脆弱性(2004/04/14)
( 鷹木 創 )
2004/06/03 13:06
- ページの先頭へ-
|