 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
「MS05-047」を悪用して侵入するウイルス「Mocbot」が見つかる |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
マイクロソフトが12日にセキュリティ修正プログラム(パッチ)を公開したWindows XP/2000におけるプラグアンドプレイの脆弱性「MS05-047」を突いて侵入するウイルス「Mocbot」が見つかり、ウイルス対策ベンダーらがパッチを適用するよう注意を呼びかけている。 米TrendMicroではこのウイルスを「BKDR_MOCBOT.A」(以下、Mocbot.A)と命名しており、全般的な危険度は“低”だが、ダメージ度を“高”と判定している。同社によれば、Mocbot.AはMS05-047の脆弱性を悪用してPCに侵入し、実行されると自身をWindowsのシステムフォルダ内に「wudpcom.exe」として複製するとともにレジストリを改変する。さらにランダムなポートを開いて「bbjj.househot.com」「ypgw.wallloan.com」という2つのIRCサーバーに接続。バックドアを作成し、リモートの攻撃者からの指示により、ファイルのダウンロードや実行、DDoS攻撃などのボット活動を行なう。 フィンランドF-Secureの公式ブログによれば、Mocbot.Aは、MS05-047を悪用する初めてのウイルス。ただし、ロシアにあるという2つのIRCサーバーは、ダウンまたはオーバーロードの状態にあるという。 マイクロソフトは8月にも、MS05-047とは別のプラグランドプレイの脆弱性「MS05-039」を公表していた。MS05-039についても、パッチ公開の数日後には同脆弱性を突いたウイルス「Zotob」が登場している。F-Secureでは今回のMocbotが悪用する脆弱性について、MS05-039と混同しないよう呼びかけている。 一方で、Mocbotを「IRC-Mocbot」と命名して危険度“低”で警告している米McAfeeでは、当初はMS05-047が悪用されていると分析していたものの、同社の研究機関であるAVERTでこのウイルスをさらに分析した結果、「この脅威がMS05-047ではなく、むしろMS05-039を攻撃することを確認した」という。また、Mocbotは指示を受けると、クラスAのサブネットIPアドレスをスキャンし、 TCP 139番ポートとTCP 445番ポートを通じてSYNパケットを送信。MS05-039の脆弱性が存在するPCを探し出してバッファオーバーフローを引き起こし、そのPCにMocbotをダウンロードさせるとしている。 関連情報 ■URL TrendMicroの「BKDR_MOCBOT.A」情報(英文) http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR%5FMOCBOT%2EA F-Secure公式ブログの該当記事(英文) http://www.f-secure.com/weblog/archives/archive-102005.html#00000685 McAfeeの「IRC-Mocbot」情報(英文) http://vil.nai.com/vil/content/v_136637.htm ■関連記事 ・ マイクロソフトが9件のセキュリティパッチ公開、“緊急”は3件(2005/10/12) ・ MS05-039を突くウイルスが続々、ベンダー各社「パッチの適用」呼びかけ(2005/08/18) ・ Mocbot.Aが悪用するのは、「MS05-047」ではなく「MS05-039」だった(2005/10/25)
( 永沢 茂 )
- ページの先頭へ-
|
