 |
 |
記事検索 |
最新ニュース |
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
日本のWebサーバーをハッキングするウイルス「Welchia.B」が登場 |
||||||||||
|
||||||||||
|
~12日には、国内の大手ECサイトが感染
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
Welchia.Bは、2003年8月に流行したウイルスWelchia.Aの亜種となるワーム型ウイルス。Welchia.Aが利用した、DCOM RPCの脆弱性「MS03-026」やWebDavの脆弱性「MS03-007」を攻撃するほか、新たにWorkstationサービスのバッファオーバーラン脆弱性「MS03-049」も利用するため、注意が必要だ。 Welchia.Bに感染すると、OSが中国語版や韓国語版、英語版の場合、Windows UpdateのWebサイト上からMS03-026のセキュリティ修正プログラムをダウンロード・適用する。日本語OSの場合は、ダウンロードしない。その後、昨今流行したウイルス「Mydoom.A」と「Mydoom.B」が作成するファイル削除や、改変したレジストリの変更を試みる。 そしてランダムなIPアドレスを対象に、MS03-026やMS03-007、MS03-049の脆弱性を悪用したデータを送信し、感染を試みる。また、感染先PCのコードぺージが日本語の場合、「Virtual Roots」や「IIS Help」フォルダから拡張子「.html」や「.htm」などのファイルを探し出し、次の文字列を含むHTMLファイルで上書きする。 LET HISTORY TELL FUTURE ! 1931.9.18 1937.7.7 1937.12.13 300,000 ! 1941.12.7 1945.8.6 Little boy 1945.8.9 Fatso 1945.8.15 Let history tell future ! これらの感染行動を実施したのち、2004年6月1日もしくは起動後180日間経過すると活動を停止するという。 万が一感染してしまった場合には、ウイルス対策ソフトの定義ファイルを最新版にアップデートしたのちに「Welchia.B」として検出したファイルをすべて削除し、レジストリを修正しなければならない。ただし、Windows XP/Meを利用している場合には、「システムの復元オプション」を無効にしてから作業を行なう必要があるため、注意が必要だ。 なお警察庁では、12日の夜までにWelchia.Bが感染時に攻撃する、TCP445番ポートへのトラフィックが増加していると警告している。 関連情報 ■URL Welchia.B http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.b.worm.html ■関連記事 ・ 警察庁、TCP445番ポートへのトラフィック増加で注意呼びかけ(2004/02/13) ・ わざわざ修正パッチを当ててくれる“親切な”Blaster亜種が登場(2003/08/19) ・ 件名「hi」や「test」などの新種ウイルス「Mydoom」に注意(2004/01/27) ・ Mydoomを“アップデート”し、SCOとMicrosoftを攻撃する亜種(2004/01/29)
( 大津 心 )
- ページの先頭へ-
|
