Internet Watch logo
記事検索
最新ニュース
レゴ、小学生向けプログラミング教材「WeDo 2.0」発売
[2016/01/29]
マクロウイルスを知らない世代の社員が狙われる? 「Office文書を開いて感染」攻撃が再び増加
[2016/01/29]
新gTLD「.shop」、49億円でGMOが落札、AmazonやGoogleなどに競り勝つ
[2016/01/29]
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
[2016/01/29]
インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」、日本語版を無料で提供
[2016/01/29]
筆まめ、中小事業者向け顧客管理ソフト「筆まめ顧客管理 Windows版」発売
[2016/01/29]
大日本印刷が「サイバーナレッジアカデミー」設立、IAIの訓練システムでセキュリティ技術者を養成
[2016/01/29]
「インターネット白書2016」発売、20周年記念の特別版
[2016/01/29]
NEC、中小規模事業者向けセキュリティアプライアンス「Aterm SA3500G」を発売
[2016/01/29]
Synology、2ベイNASのハイエンドモデル「DS216+」、暗号化データも上下100MB/秒以上で高速転送
[2016/01/29]
公安9課が情報流出の危険性を解き明かす、「攻殻機動隊 S.A.C.」の描き下ろしPDFコミック「HUMAN-ERROR TRAPS」無償公開
[2016/01/29]
Google Playに「マンガストア」オープン、ジャンプコミックスも配信開始
[2016/01/28]
BIGLOBE、電力とインターネットのセットプラン、中部電力の首都圏エリア展開に合わせ
[2016/01/28]
ウェブブラウザーのプライベートブラウジング機能、認知していた人は23.1%
[2016/01/28]
LINE、違う電話番号のスマホから一方的にアカウント移管操作を行えないよう仕様変更
[2016/01/28]
LINEのiPhone版アプリがiPadにも対応、「LINE for iPad」より多機能、大画面で音声・ビデオ通話が可能に
[2016/01/28]
Microsoft、Officeと他社クラウドストレージとの連携を強化
[2016/01/28]
Googleのディープラーニングシステムによって、人工知能が初めて囲碁のプロ棋士に勝利
[2016/01/28]
ソラコム、IoTプラットフォーム「SORACOM」と既存システムを専用線でつなぐサービスや認証機能など提供開始
[2016/01/28]
Google「Chrome 48」iOS版ではクラッシュ率70%低下、JavaScript実行速度も大幅改善
[2016/01/28]

わざわざ修正パッチを当ててくれる“親切な”Blaster亜種が登場

~レジストリを調べ、パッチが当たっていない場合は「MS03-026」を適用

 トレンドマイクロは18日、週末に感染を広げたウイルス「Blaster」の亜種「Blaster.D」を危険度“中”として警告した。Blaster.Dは、Blasterが利用する脆弱性「MS03-026」用セキュリティパッチのダウンロードと適用を試みる点が特徴だ。感染対象となるOSは、Windows 2000/XP。

 オリジナルのBlasterは、感染時にWindowsの脆弱性「MS03-026」を利用するが、Blaster.Dでは「MS03-026」に加えて「MS03-007」も利用する。また、Blasterは直接135番ポートに接続を試みるが、Blaster.Dは一度PINGでPCの存在を確認してから接続を試みる点が異なっている。

 Blaster.Dに感染すると、Windowsのシステムフォルダの直下にある「wins」フォルダに、自身のコピーである「DLLHOST.EXE」とTFTPサーバー「SVCHOST.EXE」をコピーする。これらは、Windowsのシステムファイルにも同名のファイルが存在するので、混乱を招きやすい。次に、作成した2つのファイルをWindowsのサービスとして登録する。DLLHOST.EXEは「WINS Client」、SVCHOST.EXEは「Network Connection Sharing」の名前で登録される。これにより、Windows起動時にウイルス自身とTFTPサーバー機能が自動的に実行されることになる。

 Blaster.Dは「MS03-026」と「MS03-007」という2種類の脆弱性を利用してシステムへの侵入を試みる。侵入すると、自身が存在するサブネット上のPCを検索し、対象IPアドレスに対してPINGリクエストを送信してPCの存在確認を行なう。PINGに応答があった場合、そのIPアドレスに対して2つの脆弱性を狙った攻撃を行ない、脆弱性があった場合には707番ポートを利用したリモートシェルを実行する。Blaster.Dはこのリモートシェルにコマンドを送信することによって、攻撃対象に自分自身をコピーし、感染を広げる。

 Blaster.DがWindows XP上で起動した場合、Blaster.DはまずオリジナルBlasterのウイルスプログラムである「MSBLAST.EXE」というプロセスを探し出し、存在した場合には強制終了する。そして、レジストリを検索し、サービスパックなどが当たっているかどうか確認する。また、BlasterとBlaster.Dが利用する脆弱性「MS03-026」の修正パッチをダウンロード・適用し、再起動する。ただし、ダウンロードする修正プログラムは韓国語版や中国語版、英語版で、日本語版は含まれない。そのほかにもBlaster.Dは、2004年になると自身のサービスが停止するように作られている。

 万が一感染の疑いがある場合には、ネットワークから切断するか、Safeモードで起動後、以下のレジストリキーを削除しなければならない。

場所:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch
場所:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd

 レジストリキー削除後、ウイルス対策プログラムで「WORM_MSBLAST.D」として検出したファイルをすべて削除し、Blaster.Dが利用するWindows脆弱性「MS03-026」と「MS03-007」の修正プログラムを適用すればよい。

 トレンドマイクロによると、現在Blaster.Dの感染数は世界全体で223件、日本では116件が確認されているという。


「Blaster.D」の解説サイト
シマンテックは「W32.Welchia.Worm」と名付けている
関連情報

URL
  トレンドマイクロ「Blaster.D」
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D
  シマンテック「W32.Welchia.Worm」
  http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html

シマンテック、「Blasterウイルス」セミナー実施、最新状況を報告(2003/08/18)
爆発的流行の兆し? Blasterウイルス対策マニュアル(2003/08/13)
Windowsの重大な脆弱性を攻撃するウイルスを危険度を上げて警告(2003/08/12)
Windowsの脆弱性を攻撃するウイルス、国内で流行中~対策リンク集(2003/08/12)


( 大津 心 )
2003/08/19 13:13

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.