ニュースリリース - 2005/8/17

感染警報VAC-3　ユーザが知らぬ間にネットワークを通じて感染を広げる「WORM_ZOTOB.D」（ゾトブ）/ 「WORM_RBOT.CBQ」（アールボット）

～公開されたばかりのWindowsの「プラグアンドプレイの脆弱性」を悪用～

　トレンドマイクロ株式会社（本社：東京都渋谷区、代表取締役社長兼 CEO：エバ・チェン）は8月10日に公開されたばかりのWindowsの「プラグアンドプレイの脆弱性」と呼ばれるセキュリティホール「MS05-039」を悪用し、ネットワークを通じて感染を広げるウイルス「WORM_ZOTOB.D」（ゾトブ） / 「WORM_RBOT.CBQ」（アールボット）について、日本でも被害報告が発生していることから、ウイルス警報VAC-3（※1）にあげて警告することをお知らせいたします。

8月17日12時現在、日本国内におけるこの2種のウイルスの感染報告は合計3件です。
（それぞれのウイルスによる報告件数については確認作業を進めており、現時点では不明です。）

なお、トレンドマイクロではすでにパターンファイル2.787.00以降にて対応（※2）しております。

※１　VAC（Virus Alert Code）
トレンドマイクロが独自に発表している新種ウイルス警報です。新種ウイルスの感染力・破壊力などから脅威度を１～5までのレベルで表示しています。（VAC-１が最も脅威度が高い）VACについての詳細は下記URLよりご確認ください。
http://www.trendmicro.co.jp/virusinfo/vac.asp

※２　今後新たな亜種の発生も考えられるため、お使いの製品のパターンファイルを最新のものに更新してください。

「WORM_ZOTOB.D」（ゾトブ）の特徴

　「WORM_ZOTOB.D」（ゾトブ）はワーム機能をもったトロイの木馬型不正プログラムで、アメリカ、ブラジルなどで感染報告があります。このウイルスはWindowsの「プラグアンドプレイの脆弱性」と呼ばれるセキュリティホールを利用して、感染を広げていき、感染したパソコンのバックドア活動や情報漏洩を行ないます。日本時間2005年8月15日午前から流行が確認されている「WORM_ZOTOB.A」の亜種と考えられます。

　セキュリティホールの詳細に関しましては以下のマイクロソフトの説明をご参照ください。
「MS05-039」プラグアンドプレイの脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる
<http://www.microsoft.com/japan/technet/security/bulletin/ms05-039.mspx>

● ワーム活動の攻撃対象：Windows 2000、XP、Server 2003

● 感染・侵入経路：
Windowsの「プラグアンドプレイの脆弱性」と呼ばれるセキュリティホールを利用し、下記の手順でワーム活動を行います。
1) ランダムなIPアドレスを作成し、ポート445(Microsoft-DS)が開いているコンピュータを検索します。
2) ポート445が開いているコンピュータを見つけると、セキュリティホールを攻撃してリモートシェルの実行を試みます。
3) セキュリティホールの攻撃に失敗もしくはポート445が開いていない場合、ウイルスは他のIPアドレスを作成し、セキュリティホールを持つコンピュータを検索します。
4) ウイルスは、ポート7778を開き、FTPスクリプトを使用して、リモートシェルを実行します。

● 破壊活動：
・ネットワークを通じて感染を広げます。
・セキュリティホールを攻撃され、PCが再起動することがあります。
・バックドア活動
・情報漏えい(システム情報の収集、アカウント情報の収集など)

「WORM_RBOT.CBQ」（アールボット）の特徴

　「WORM_RBOT.CBQ」（アールボット）はワーム機能をもったトロイの木馬型不正プログラムで、Windowsの「プラグアンドプレイの脆弱性」と呼ばれるセキュリティホールを利用してワーム活動を行います。日本時間2005年8月17日朝にアメリカ、ブラジルなどで感染報告があり、日本国内でも感染の報告があります。

● ワーム活動の攻撃対象：Windows 2000、XP

● 感染・侵入経路：
ウイルスは、Windowsの「プラグアンドプレイの脆弱性」と呼ばれるセキュリティホールを利用し、下記の手順でワーム活動を行います。
1）複数のスレッドを作成しランダムなIPアドレスを生成します。
2）作成されたスレッドは生成したIPアドレスのポート445番が開いているかを確認し、開いている場合は、セキュリティホールの攻撃を試みます。
3) ポート445番が閉じている、または、セキュリティホールの攻撃に失敗した場合、このウイルスは他のIPアドレスを生成します。
4）成功した場合は7778番ポートでリモートシェルを開いてTFTPサービスを利用して、ターゲットコンピュータに自身のコピーを作成して実行します。
5) 自身の活動が終わると作成したファイルを削除するためのバッチファイルを作成します。

● 破壊活動：
・ネットワークを通じて、ウイルスの感染を広げます。
・セキュリティホールを攻撃されPCが再起動することがあります。

「WORM_ZOTOB.D」「WORM_RBOT.CBQ」への対策について

● お勧めする対策：
・Windows Updateなどを利用し、セキュリティホールを修正してください。
・パーソナルファイアウォール機能がある場合はTCPポート445をブロックする。
・お使いのセキュリティ対策ソフトを最新の状態に更新してください。
　お持ちでない方は下記をご利用ください。
　ウイルスバスター2005 インターネットセキュリティ 30日期間限定版
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/trial-dl.htm

● トレンドマイクロ製品の対応について：
これらのウイルスは、MS05-039の脆弱性を悪用するものです。この脆弱性を狙う攻撃に対応するパターンファイルとしてトレンドマイクロでは8月15日にネットワークウイルスパターンファイル10224を配信しています。このパターンファイルを利用している下記の製品では、MS05-039の脆弱性を狙ったウイルスをブロックすることができます。
・ウイルスバスターコーポレートエディションアドバンス Ver.6.5以降
・ウイルスバスター2004 インターネットセキュリティ
・ウイルスバスター2005 インターネットセキュリティ
・Trend Micro Network Virus Wall 1200
・Trend Micro Network Virus Wall 2500

■ウイルスの詳細情報は下記URLよりご確認ください。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ZOTOB.D
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.CBQ

ニュースリリース - 2005/8/17

感染警報VAC-3 ユーザが知らぬ間にネットワークを通じて感染を広げる「WORM_ZOTOB.D」（ゾトブ）/ 「WORM_RBOT.CBQ」（アールボット）

感染警報VAC-3　ユーザが知らぬ間にネットワークを通じて感染を広げる「WORM_ZOTOB.D」（ゾトブ）/ 「WORM_RBOT.CBQ」（アールボット）