米Symantecは2日、7月17日に発見されたWindowsのRPCに関する脆弱性「MS03-026」を利用してバックドアを作成するトロイの木馬型ウイルス「Backdoor.IRC.Cirebot」を危険度“2”として警告した。
Cirebotは、2週間前に発見されたばかりのWindowsの脆弱性「MS03-026」を悪用し、バックドアを作成してCDキーを盗み出したり、キーロガー行為を行なうほか、ポート57005番を開いて感染先PCへの不正なリモートアクセスを可能する。
Cirebotは、ハッキングツールとバックドアコンポーネントの2種のプログラムで構成されている。このうちハッキングツールは、本体である「worm.exe」、自動ルータ機能を持つ「rpc.exe」、攻撃ツール「rpctest.exe」、FTPサーバー「tftpd.exe」を含む。
感染すると、「rpc.exe」「rpctest.exe」「tftpd.exe」をそれぞれCドライブにコピーする。続いて、FTPサーバーである「tftpd.exe」を実行し、外部PCのポート445番に対して接続を試みる。接続を試みるIPアドレスは、以下の通り。
IPアドレスをA.B.C.Dとすると、
・Aは4、12、24、64、65、68、128、165、208、211、213、217、218、220のいずれか
・Bは0~255からランダムに選択
・CとDは任意の数字を選択
例)24.111.0.1、165.68.11.2、218.192.168.200など
このように攻撃対象はある程度限られているため、上記のIPアドレスに該当しないユーザーは攻撃を受ける可能性は少ない。接続が成功すると、「rpctest.exe」がバックドアを作成し、「tftpd.exe」を実行する。
バックドアコンポーネントは、「lolx.exe or dcomx.exe」としてPCにコピーされ、ICQを利用してバックドアが始まったことを伝えたのち、キーロガー機能やDoS攻撃、ほかのPCへの脆弱性攻撃などを行なうことができる。
万が一感染してしまった場合には、対策プログラムでウイルス検索を行ない、「Backdoor.IRC.Cirebot」として検出したファイルや、感染後ウイルスによって作成されたフォルダなどをすべて削除すればよい。その際、Windows XPでは「システムの復元オプション」を無効にしなければならないので、注意が必要だ。
関連情報
■URL
シマンテックの解説サイト(英文)
http://www.symantec.com/avcenter/venc/data/backdoor.irc.cirebot.html
関連記事:CERT/CC、Windowsの重大な脆弱性に対する攻撃を警告
http://internet.watch.impress.co.jp/cda/news/2003/08/01/12.html
関連記事:米ISS、WindowsのRPCに関する脆弱性の有無をチェックできるツール
http://internet.watch.impress.co.jp/www/article/2003/0730/vuln.htm
関連記事:WindowsのRPCに任意のコードを実行されてしまう深刻な脆弱性
http://internet.watch.impress.co.jp/www/article/2003/0717/windows.htm
( 大津 心 )
2003/08/04 14:36
- ページの先頭へ-
|