エンタープライズ:ニュース 2003/08/04 21:22:00 更新


Windows RPCの脆弱性を悪用したトロイの木馬が出現

8月2日、複数のウイルス対策ソフトウェアベンダーが、Windows RPCインタフェースに存在するセキュリティホール(MS03-026)を悪用したトロイの木馬プログラムを発見した。

 懸念されていた事態が、いよいよ現実のものになりつつある。

 複数のウイルス対策ソフトウェアベンダーは8月2日、相次いで、先日指摘されたWindows RPCインタフェースに存在するセキュリティホール(MS03-026)を悪用したトロイの木馬プログラムを発見したとし、警告している。

 日本ネットワークアソシエイツやシマンテック、F-Secureなど各社の情報によると、このプログラムは、自らを複製して感染を広める機能を備えたワームとはいえない。しかし、脆弱性の存在が公表されてから半月やそこらで、脆弱性実証コード(Exploit)のみならず、トロイの木馬プログラムまでがネットワーク上に流出してしまった事実を考えると、今後、破壊力の強いワームが登場する可能性は否定できず、厳重な警戒が必要だろう。

 各社の情報によると、「Downloader-DM」「Backdoor.IRC.Cirebot」あるいは単に「RPC」などと名付けられているこのプログラムは、「worm.exe」といった名称の自己解凍型実行プログラム形式で配布される。この名称のファイルをWebからダウンロードしたり、メールに添付されたファイルをユーザーが自ら実行しない限りは、影響を受けることはない。

 もし最初のファイルを実行してしまうと、PCのローカルディスク内に「rpc.exe」「rpctest.exe」「tftpd.exe」という3種類の実行ファイルが作成される。このうちrpc.exeは、tftpを利用して、「lolx.exe」や「dcomx.exe」といったバックドアプログラムをダウンロードしようとする。もう1つのrpctest.exeは、この際、MS03-026の脆弱性を悪用して、接続先のTCP 57005ポートにリモートシェルを作成しようとする。

 各社とも、これら一連のプログラムを検出し、駆除するための最新のウイルス定義ファイルを提供している。同時に、MS03-026を含む最新の修正プログラムをきちんと適用するとともに、ファイアウォールの設定を変更するなどしてTCP/UDP 135、139、445の各ポートを塞ぐという基本的な対処を怠らないよう推奨している。

関連記事
▼Slammerの二の舞? Windows RPCの脆弱性悪用コード公開で高まる不安

関連リンク
▼日本ネットワークアソシエイツ
▼シマンテック
▼F-Secure

[ITmedia]