Internet Watch logo
記事検索
最新ニュース

Windows RPCの脆弱性を利用したトロイの木馬型ウイルス「RALEKA」

~Blasterと同じ脆弱性「MS03-026」を利用して増殖

 トレンドマイクロ株式会社は4日、RPCインターフェイスのバッファオーバーランによりコードが実行される脆弱性(MS03-026)を利用して増殖する「トロイの木馬型」不正プログラム「WORM_RALEKA.B」を警告した。危険度は低いものの、ダメージ度と感染力は「高」とされている。

 RALEKAはWindows 2000とXPのみで活動するウイルス。感染するとバックドア型不正プログラム「BKDR_NTRTKIT.A」をダウンロードし、悪意のある者によるリモート操作を可能にする。

 感染先PCへの侵入方法は、Windows RPCの脆弱性を利用する。まずランダムにIPアドレスをスキャンし、ポート135に特殊なパケットを送信。スキャンしたIPアドレスは「SVCHOST.INI」に記録され、侵入に成功すると、ランダムなポートを開いてリモートシェルを実行する。

 こうした感染活動を行なうためにRALEKAは、ランダムにポートを開くことができるWebサーバーを構築。これを使って感染元のPCから「SVCHOST32.EXE」(ウイルスのコピー)、「SERVICE.EXE」(サービスとしてプログラムをインストールするユーティリティ)、「NTROOTKIT.EXE」(BKDR_NTRTKIT.A)をダウンロードする。

 侵入に成功すると、Windowsシステムフォルダに上記3つのプログラムに加えて、DOWN.COM(TROJ_RALEKA.A)、NTROOTKIT.REG(BKDR_NTRTKIT.A 用のレジストリ値)、SVCHOST.CMD(不正プログラム実行用コンポーネント)を作成。また、レジストリ情報を改変し、ウイルスをサービスとして起動できるようにする。RALEKAは、「Remote_Procedure_Call」というサービスとして活動する。

 なお、改変されるレジストリ情報は以下の通り。

場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
キー:svchost

場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
キー:LEGACY_SVCHOST

 感染してしまうと、不正リモートユーザーがコマンドを送信できるIRC上のチャンネルに参加し、コマンドを待ち受ける。動作中の全てのプロセスの表示やプロセスの終了、ファイルのダウンロード、ファイルの実行、Windows RPC脆弱性の修正パッチの適用などを行なう。また、不正ユーザーが指定したWebサイトからウイルスのアップデートも行なう。

 感染してしまった場合の駆除方法は、Windows RPC脆弱性の修正プログラムを適用する。ただし、攻撃を受けるたびに再起動を繰り返す場合には、PCをネットワークから外すかSafeモードで立ち上げる必要がある。

 手動削除の方法は、不正プログラムのサービスを停止するためにコマンドプロンプトで「NET STOP Remote_Procedure_Call」を実行する。次に改変されたレジストリ情報を削除し、ファイルの検索を用いて「DOWN.COM」「NTROOTKIT.REG」「SVCHOST.CMD」「SVCHOST.INI」を削除する。最後にPCを再起動し、最新のウイルス定義ファイルを使ってスキャン、WORM_RALEKA.Bとして検出されたファイルを全て削除する。


関連情報

URL
  ウイルス情報
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_RALEKA.B


( 岡田大助 )
2003/09/05 13:07

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.