Internet Watch logo
記事検索
最新ニュース

MS05-039を突くウイルスが続々、ベンダー各社「パッチの適用」呼びかけ


 Windowsの脆弱性「MS05-039」を狙うワーム型ウイルスが続々と見つかっている。被害防止のため、セキュリティベンダー各社はセキュリティ修正プログラム(パッチ)の更新を呼びかけている。

 シマンテックでは14日に「W32.Spybot.UBH」「W32.Zotob.A」「W32.Zotob.B」を警告したのを皮切りに、15日には「W32.Esbot.A」「W32.Bobax.AF@mm」「W32.Zotob.C@mm」を警告。翌16日には「W32.Zotob.E」「W32.Zotob.D」「W32.Zotob.F」、さらに17日には「W32.Zotob.G」「W32.Esbot.B」「W32.Zotob.H」と合計12種類のウイルスを警告した。このうち、危険度が高いのはEsbot.AとZotob.E。いずれも5段階中の“3”となっている。


Esbot.AはTCP 30722番ポート、Zotob.EはTCP 8080/445番ポートなどを悪用

 Esbot.Aは、マカフィーでは「W32/IRCbot.gen」、トレンドマイクロでは「WORM_ESBOT.A」と名付けられているワーム型ウイルス。システムフォルダの直下に「mousebm.exe」もしくは「mousemm.exe」というファイルとして自分自身を複製し、「Mouse Button Monitor」「Mouse Movement Monitor」といった名称のサービスとして実行する。

 また、TCP 30722番ポートを通じて「esx.is-a-fag.net」「esxt.legi0n.net」といったIRCサーバーに接続し、IRCコマンドを受信。ファイルをダウンロードして実行する、DoS攻撃を実行するなどの活動に加え、MS05-039の脆弱性を悪用して感染を拡大する。

 Zotob.Eは、トレンドマイクロでは「WORM_RBOT.CBQ」と名付けられている。システムフォルダ直下に「wintbp.exe」というファイルとして自分自身を複製し、ネットワーク接続とルート可能なIPアドレスを検出しようとする。

 TCP 8080番ポートを通じて「70.20.27.115」のIRCサーバーに接続し、IRCコマンドを待機するほか、UDP 69番ポートを開いてTFTPを起動。侵入先のコンピュータのIPアドレスに基づいてランダムに生成したIPアドレスへパケットを送信するという。

 さらにTCP 445番ポートを通じてMS05-039を悪用し、TCP 8594番ポートを介して侵入先のコンピュータにバックドアを開く。このバックドアに接続してBATファイルを送信し、感染活動を行なう。


マカフィーも警告するSpybot.UBHにも注意、マイクロソフトも情報を公開

 このほか、Spybot.UBHはシマンテックでは危険度“2”。マカフィーでは「W32/Sdbot.worm!MS05-039」と名付け、同社の危険度では3段階中の“中”となっている。

 Spybot.UBHは、TCP 5232番ポートを通じて「l33t.freeshellz.org」ドメインのIRCチャネルに接続。バックドアを開いてファイルをダウンロードして実行する、DoS攻撃を実行する、感染先のコンピュータを再起動する、システム情報を収集するなど、攻撃者からのコマンドを待機するという。

 シマンテックでは、危険度“3”のEsbot.AとZotob.Eについて専用の駆除ツールを公開。マイクロソフトでもセキュリティアドバイザリでMS05-039を突くウイルスについて警告したほか、Zotobに関するウイルス情報を掲載。悪意のあるソフトウェアの駆除ツールも18日付で更新し、Zotobウイルスに対応した。


関連情報

URL
  シマンテックのウイルス情報
  http://www.symantec.com/region/jp/avcenter/vinfodb.html
  シマンテックのEsbot駆除ツール
  http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.esbot.removal.tool.html
  シマンテックのZotob駆除ツール
  http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.zotob.removal.tool.html
  トレンドマイクロのウイルス情報
  http://www.trendmicro.co.jp/vinfo/
  マカフィーのウイルス情報
  http://www.mcafeesecurity.com/japan/security/latest.asp
  マイクロソフトのセキュリティアドバイザリ「899588」
  http://www.microsoft.com/japan/technet/security/advisory/899588.mspx
  マイクロソフトのウイルス情報
  http://www.microsoft.com/japan/security/incident/zotob.mspx
  マイクロソフトの「悪意のあるソフトウェアの駆除ツール」
  http://www.microsoft.com/japan/security/malwareremove/default.mspx

関連記事
マイクロソフト、IEなどを対象にした深刻度“緊急”を含むパッチ6件公開(2005/08/10)
マイクロソフトのウイルス駆除ツール、ワームやトロイの木馬3種類を追加(2005/08/10)
8月のマイクロソフトセキュリティ更新を確認する(2005/08/10)


( 鷹木 創 )
2005/08/18 18:41

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.