Zotobの悪夢再び？ 最新の脆弱性悪用する新型ボットが登場

パッチがリリースされたばかりの脆弱性（MS05-047）を悪用するボット「Mocbot」が、10月22日以降、感染を広め始めた。

[ITmedia]

　10月12日にパッチがリリースされたばかりのプラグ＆プレイの脆弱性（MS05-047）を悪用するボット「Mocbot」が感染を広め始めた。被害を未然に防ぐためにも、パッチの早急な適用が推奨される。

　Windowsに存在するプラグ＆プレイの脆弱性が悪用されるのは、今回が初めてではない。8月15日には、そのわずか5日前に公開された「プラグ＆プレイの脆弱性」（MS05-039。名称は同じだがMocbotが悪用するMS05-047とは別の問題だ）を用いて感染を広める「Zotob」ワームが登場し、多くのWindows 2000マシンに影響を与えた。

　F-SecureやMcAfeeの情報によると、Mocbotと呼ばれるこのボットクライアントプログラムは10月22日ごろ登場し、TCP 139もしくは445番ポートを通じて感染を広める。MS05-047の脆弱性を悪用するため、パッチを適用していないマシンでは、不審なWebサイトにアクセスしたり添付ファイルをクリックするといった動作を行わずとも、ネットワークに接続しているだけで感染する可能性がある（上記ポートを閉じていない場合）。

　もし感染すると、WindowsのSystemフォルダ直下に「wudpcom.exe」という名称のファイルが作成される。また、IRCサーバにアクセスし、DDoS攻撃や脆弱性のある他のシステムのスキャン、リモートからのファイルのダウンロードといった攻撃者からの指令を待ち受けるという。ただしF-Secureによると、接続先のIRCサーバはダウンしているということだ。

　これに先立つ10月21日には、MS05-047の脆弱性を悪用する実証コードが公にされていた。パッチがリリースされてから10日足らずで実証コードが公開され、ボットが発生したことになる。

　Mocbotの感染を防ぐには、まず第一に10月の月例アップデートを適用して脆弱性をふさいでおくこと。また、企業ゲートウェイや自宅のルータでは少なくともTCP 139／445のポートをふさいでおくことも自衛の役に立つだろう。