WORM_MSBLAST.A - 2003/8/12

感染警報VAC-２（※）　windowsupdate.comにDoS攻撃を行う「WORM_MSBLAST.A」（エムエスブラスト）

（※ 2003年8月13日15時時点で、日本での感染被害の増加によりVAC１とあげて警告しています）

トレンドマイクロ株式会社（本社：東京都渋谷区、代表取締役社長 兼 CEO：スティーブ・チャン）は「RPC DCOM バッファオーバーフロー」とよばれるセキュリティホール[MS03-026]を悪用し、感染後はwindowsupdate.comにDoS攻撃を行う「WORM_MSBLAST.A」（エムエスブラスト）について、日本でも被害報告が増加していることから、ウイルス警報VAC-2（※1）にあげて警告することをお知らせいたします。
なお、トレンドマイクロではすでにパターンファイル604以降にて対応（※2）し、あわせて無償駆除ツールの提供を行っています。

※1 VAC（Virus Alert Code）
トレンドマイクロが独自に発表している新種ウイルス警報です。新種ウイルスの感染力・破壊力などから脅威度を1～5までのレベルで表示しています。
（VAC-1が最も脅威度が高い）VACについての詳細は下記URLよりご確認ください。
http://www.trendmicro.co.jp/virusinfo/vac.asp
※2 今後新たな亜種の発生も考えられるため、お使いの製品のパターンファイルを最新のものに更新してください。

「WORM_MSBLAST.A」（エムエスブラスト）の特徴とその対策について

「WORM_MSBLAST.A」（エムエスブラスト）はワーム機能をもったトロイの木馬型不正プログラムです。アメリカを中心にアルゼンチン、ブラジル、オーストラリアなど全世界的に感染報告があり、日本国内では現在（8月12日12時）45件の感染被害報告があります。

一般的に「RPC DCOM バッファオーバーフロー」と呼ばれるWindowsのセキュリティホール[MS03-026]を利用してネットワーク上のコンピュータに侵入します。
また、感染後は“windowsupdate.com”に対してネットワーク攻撃を仕掛けるDoSツールとしての活動も行います。

このワームが狙うセキュリティホールの詳細に関しましては以下のマイクロソフト社の説明をご参照ください。
[MS03-026] RPC インターフェイスのバッファ オーバーランによりコードが実行される
http://support.microsoft.com/default.aspx?scid=kb;ja;823980

● 現時点（8月12日12時現在）の感染被害報告件数： 日本国内45件

● 感染対象： Windows NT、2000、XP、Server 2003

● 感染・侵入経路：
ワームはTFTPを利用して感染元から感染先に転送後、自動実行されます。ただし、Windowsのセキュリティホールが存在しなければ侵入されることはありません。

まず、ワームはランダムなIPアドレスのポート135番にアクセスし、Windowsのセキュリティホール「RPC DCOM バッファオーバーフロー」[MS03-026]を攻撃します。対象のIPアドレスにセキュリティホールのあるコンピュータが存在した場合、ワームがフルアクセスの権限でコンピュータ上のファイルを実行できるようになります。権限が得られた場合、ワームは以下の手順で自身のコピーを転送します。

1） 感染先コンピュータ上でポート4444番を使用したリモートシェルを起動し、外部からコマンド実行できるように設定します。

2） リモートシェルにコマンドを送信し、自身のコピーである“MSBLAST.EXE”を感染先コンピュータにダウンロードさせます。ダウンロードされた“MSBLAST.EXE”はWindowsのシステムフォルダに作成されます。

3） リモートシェルにコマンドを送信し、転送された自身のコピーを実行します。

これにより、感染先コンピュータでワームが活動を開始します。

● 破壊活動：
システム日付が以下の条件だった場合、ワームは発病し“windowsupdate.com”に対してDoS攻撃を開始します：

「月」が9月～12月
「月」が1月～8月で「日」が16日～31日

●お勧めする対策：
・ ウイルス対策製品のパターンファイルおよび検索エンジンを最新にしてください。
・ Windows の修正プログラム（セキュリティパッチ）（※3）を導入してください。
・ ポート135番を閉じてください。
・ ワームが実行された場合は、システムの修復の必要があるため、手動で設定を変えるか、無償駆除ツールをご利用ください。

■ ウイルスの詳細情報および無償駆除ツールのご案内は下記URLよりご確認ください。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

※3 このウイルスが利用するセキュリティホールに関しましては以下のマイクロソフト社の説明をご参照の上、対策パッチの導入をお勧めします。
マイクロソフト社 TechNet セキュリティセンター：
http://www.microsoft.com/japan/technet/security/default.asp

「TrendLabs Japan」アンチ・ウイルスセンターウイルス解析担当者 岡本勝之 コメント

この「WORM_MSBLAST.A（エムエスブラスト）」の悪用するセキュリティホール（[MS03-026] RPC インターフェイスのバッファ オーバーランによりコードが実行される）は先月7月16日に公開、周知されたセキュリティホールです。それから先週8月5日に確認された「BKDR_CIREBOT.A（サイアボット）」、そして今回流行中の「WORM_MSBLAST.A（エムエスブラスト）」と、その周知から1ヶ月も経たないうちにセキュリティホールを悪用するウイルスが連続して登場したことになります。これは、セキュリティホールが悪用されるスピードが加速化している傾向を端的に示しているといえます。
また、一度狙われたセキュリティホールは何度も狙われる可能性が高いのですが、先週の「BKDR_CIREBOT.A（サイアボット）」の情報からすぐにセキュリティアップデートの浸透につなげられなかったことが非常に残念です。OSのセキュリティ情報とそれを狙うウイルスの情報はあわせて注意してください。

※TRENDMICRO、ウイルスバスターは、トレンドマイクロ株式会社の登録商標です。
※各社の社名および製品名は、各社の商標又は登録商標です。
Copyright (c) 2003 Trend Micro Incorporated. All Rights Reserved.