当初、Windows XP/2000におけるプラグアンドプレイの脆弱性「MS05-047」を突いて侵入するとされていたウイルス「Mocbot.A」だが、実際にはMS05-047ではなく、8月に公開された別のプラグランドプレイの脆弱性「MS05-039」を突くウイルスだったことがわかった。複数のセキュリティベンダーが明らかにした。
Mocbot.Aは、脆弱性を悪用してPCに侵入し、実行されると自身をWindowsのシステムフォルダ内に「wudpcom.exe」として複製するとともにレジストリを改変する。さらに「bbjj.househot.com」「ypgw.wallloan.com」という2つのIRCサーバーに接続。バックドアを作成し、リモートの攻撃者からの指示により、ファイルのダウンロードや実行、DDoS攻撃などのボット活動を行なう。
当初、米TrendMicroやフィンランドのF-Secureでは、このMocbot.AがMS05-047を悪用するとしていたが、その後の調査でMS05-039を悪用するウイルスであることが判明した。F-Secureによると「Mocbotに使われていた実行コードが、公開されていたMS05-047を攻撃するコードに似ていたため混乱が生じた」という。
米McAfeeでは現地時間の23日に「当初はMS05-047を悪用するとしていたものの、さらに分析した結果、MS05-047ではなく、むしろMS05-039を攻撃することを確認した」と公表していた。また、同じく23日付でMocbot.Aを発見していたという米Symantecでは24日なってウイルス情報を更新。Mocbot.AがMS05-039を悪用するウイルスであることを警告している。
なお、Mocbot.Aの呼称は、TrendMicroが「BKDR_MOCBOT.A」、F-Secureが「Mocbot.A」、McAfeeが「IRC-Mocbot」、Symantecが「W32.Mocbot.A」とそれぞれ命名している。
今回のMocbot.AはMS05-039を突くウイルスだったことが判明したが、仏FrSIRTをはじめとする各セキュリティ情報機関やセキュリティベンダーが、MS05-047を突く複数の実証コードを公表しており、依然としてMS05-047を悪用するウイルスの登場が危惧されている。
関連情報
■URL
TrendMicroの「BKDR_MOCBOT.A」情報(英文)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR%5FMOCBOT%2EA
F-Secure公式ブログの該当記事(英文)
http://www.f-secure.com/weblog/archives/archive-102005.html#00000685
McAfeeの「IRC-Mocbot」情報(英文)
http://vil.nai.com/vil/content/v_136637.htm
Symantecの「W32.Mocbot.A」情報(英文)
http://securityresponse.symantec.com/avcenter/venc/data/w32.mocbot.a.html
FrSIRTで公開されているMS05-047を攻撃する実証コード(英文)
http://www.frsirt.com/exploits/20051024.MS05-047-Dos.c.php
FrSIRTで公開されているMS05-047を攻撃する実証コード(英文)
http://www.frsirt.com/exploits/20051021.MS05-047.c.php
■関連記事
・ 「MS05-047」を悪用して侵入するウイルス「Mocbot」が見つかる(2005/10/24)
・ MS05-039を突くウイルスが続々、ベンダー各社「パッチの適用」呼びかけ(2005/08/18)
( 鷹木 創 )
2005/10/25 13:34
- ページの先頭へ-
|