 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
Windows RPCの脆弱性を利用したトロイの木馬型ウイルス「RALEKA」 |
||||||||
|
||||||||
|
~Blasterと同じ脆弱性「MS03-026」を利用して増殖
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
トレンドマイクロ株式会社は4日、RPCインターフェイスのバッファオーバーランによりコードが実行される脆弱性(MS03-026)を利用して増殖する「トロイの木馬型」不正プログラム「WORM_RALEKA.B」を警告した。危険度は低いものの、ダメージ度と感染力は「高」とされている。 RALEKAはWindows 2000とXPのみで活動するウイルス。感染するとバックドア型不正プログラム「BKDR_NTRTKIT.A」をダウンロードし、悪意のある者によるリモート操作を可能にする。 感染先PCへの侵入方法は、Windows RPCの脆弱性を利用する。まずランダムにIPアドレスをスキャンし、ポート135に特殊なパケットを送信。スキャンしたIPアドレスは「SVCHOST.INI」に記録され、侵入に成功すると、ランダムなポートを開いてリモートシェルを実行する。 こうした感染活動を行なうためにRALEKAは、ランダムにポートを開くことができるWebサーバーを構築。これを使って感染元のPCから「SVCHOST32.EXE」(ウイルスのコピー)、「SERVICE.EXE」(サービスとしてプログラムをインストールするユーティリティ)、「NTROOTKIT.EXE」(BKDR_NTRTKIT.A)をダウンロードする。 侵入に成功すると、Windowsシステムフォルダに上記3つのプログラムに加えて、DOWN.COM(TROJ_RALEKA.A)、NTROOTKIT.REG(BKDR_NTRTKIT.A 用のレジストリ値)、SVCHOST.CMD(不正プログラム実行用コンポーネント)を作成。また、レジストリ情報を改変し、ウイルスをサービスとして起動できるようにする。RALEKAは、「Remote_Procedure_Call」というサービスとして活動する。 なお、改変されるレジストリ情報は以下の通り。 場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services キー:svchost 場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root キー:LEGACY_SVCHOST 感染してしまうと、不正リモートユーザーがコマンドを送信できるIRC上のチャンネルに参加し、コマンドを待ち受ける。動作中の全てのプロセスの表示やプロセスの終了、ファイルのダウンロード、ファイルの実行、Windows RPC脆弱性の修正パッチの適用などを行なう。また、不正ユーザーが指定したWebサイトからウイルスのアップデートも行なう。 感染してしまった場合の駆除方法は、Windows RPC脆弱性の修正プログラムを適用する。ただし、攻撃を受けるたびに再起動を繰り返す場合には、PCをネットワークから外すかSafeモードで立ち上げる必要がある。 手動削除の方法は、不正プログラムのサービスを停止するためにコマンドプロンプトで「NET STOP Remote_Procedure_Call」を実行する。次に改変されたレジストリ情報を削除し、ファイルの検索を用いて「DOWN.COM」「NTROOTKIT.REG」「SVCHOST.CMD」「SVCHOST.INI」を削除する。最後にPCを再起動し、最新のウイルス定義ファイルを使ってスキャン、WORM_RALEKA.Bとして検出されたファイルを全て削除する。 関連情報 ■URL ウイルス情報 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_RALEKA.B
( 岡田大助 )
- ページの先頭へ-
|
