W32.Blaster.Worm

概要

135/TCP ポートを狙って攻撃してくるワームだそうです。

攻撃には Windows NT 系のプラットフォームに存在する Microsoft RPC のセキュリティホールをつくもので、Windows 95/98/Me には影響を与えないとのこと。また、セキュリティホールは存在するものの、Windows NT 4.0 および Server 2003 にも影響を及ぼさないとか。

このウィルスに感染すると、Windows が再起動してしまうという問題があるそうです。これは別のコンピュータへアタックを試みる際に作成する 135/TCP へ送るデータが不正なものとなることがあるためで、それを送信しようとすると svchost.exe が異常終了し、その結果 Windows の再起動につながるというもののようです。

また、Microsoft 社の Windows Update サイトに対して攻撃を仕掛ける機能も搭載しているようです。大量のメールを無差別に送信するような機能は持っていないとのことです。

影響範囲

Windows NT 系のセキュリティホールを利用するのですけど、プログラムの仕様なのか Windows 2000 および Windows XP に対してのみにしか影響を及ぼさないそうです。

感染

ウィルスは Microsoft RPC ( 135/TCP ) を利用して脆弱性を確認ます。この脆弱性が利用できるなら、これを利用してリモートシェルを 4444/TCP に作成するそうです。

そして本体を TFTP ( 69/UDP ) を利用して System32 フォルダへ転送するそうです。これは攻撃対象となったコンピュータのほうから、ウィルスが実行されているコンピュータの TFTP に対してウィルスプログラムの取得を試みるのだそうです。

ウィルスプログラムが実行されると、他のコンピュータに対してアタックを行います。また、レジストリを書き換えてコンピュータ再起動時に自動的にウィルスプログラムが実行されるようにします。

また、2003/08/16 以降は Windows Update サイトに対してそのサービスを阻害する目的の攻撃 （SYN パケット送信） を行います。

予防策

なにはともあれ、Windows Update を利用して、RPC のバッファーオーバーランに関する脆弱性を解消するのが一番です。

そのほかにも意図してサービスを行っているのでなければ、インターネットに対して RPC ( 135/TCP ) と TFTP ( 69/UDP ) および、4444/TCP ポートを遮断するなどの対策を行うのがいいようです。

• 823980 - [MS03-026] RPC インターフェイスのバッファ オーバーランによりコードが実行される
• WORM_MSBLAST.A - 概　要
• W32.Blaster.Worm
• Internet Security Systems K.K. MSRPC DCOM ワーム「MS Blast」の蔓延
• ネットワークアソシエイツ--セキュリティ情報--
• 爆発的流行の兆し？　Blasterウイルス対策マニュアル