| エンタープライズ:ニュース | 2003/08/19 08:42:00 更新 |
MSBlastを停止させパッチを当てる新ワーム
Windows RPC DCOMのセキュリティホールを悪用する新たなワームが登場した。といってもこのワームは、MSBlastを停止させ、脆弱性修正のためのパッチをダウンロードしようとする。
8月18日午後より、ネットワーク上で大量のICMP Echo Reqestが観測されている。警察庁の警告やウイルス対策ソフトウェア企業の情報を総合すると、この原因は、Windows RPC DCOMのセキュリティホール(MS03-026)に加え、Windows 2000のコンポーネントに存在した別のセキュリティホール(MS03-007)を悪用する新種のワーム(あるいはMSBlastの亜種)と見られている。
この新ワームの名称は、オリジナルのMSBlast以上にばらばらのようで、8月19日午前3時時点ではまちまちに名付けられている。トレンドマイクロはこれをMSBlastの亜種とし「WORM_MSBLAST.D」と分類しているが、Network Associatesは「W32/Lovsan.worm.d」とは異なる新ワーム「W32/Nachi.worm」と呼んでいるし、Symantecは「W32.Welchia.Worm」、F-Secureは「Welchi」といった具合だ。
いずれにしてもこのワームは、8月18日の出現以来、急激にとまではいかなくとも、警戒が必要な程度には拡散しつつある。しかもトレンドマイクロの情報によると、アジア地域、特に日本での感染数が多いことから、適切な対処が求められる。
MSBlastを停止
この新ワームの挙動は共通している。この新ワームはWindows RPC DCOMのセキュリティホールに加え、Windows 2000に存在した別のセキュリティホールを悪用し、TCP 135番ポート経由で侵入を試みる。侵入に成功すれば、Windowsのシステムフォルダの下に「DLLHOST.EXE」(ファイルサイズは1万240バイト)という名称で自分自身をコピーする(追記:NachiによってDLLHOST.EXEが作成されるのはWindows システムフォルダの直下ではなく、システムフォルダ内の「wins」フォルダの中です。お詫びして訂正します)。
その後ワームは、ランダムなIPアドレスに対し、92バイトの大きさのICMP Echo Reqestを――つまりpingを投げつける。ここで生成されるICMPパケットが、尋常ではない量のトラフィックとして観測されたわけだ。
もしもこのpingに対する返答があれば、感染元はTCP 135番ポートを通じ、MS03-026の脆弱性を悪用してターゲットを攻撃する。この攻撃が成功すると、MSBlastが用いるTCP 4444番ではなく、TCP 707番ポートを通じてリモートシェルを実行させ、ターゲット上にワーム本体であるdllhost.exeをコピーさせる。
ただ、このワームが違うのはここからだ。ワームはまず、ターゲットのPC上でオリジナルのMSBlastが植えつける「Msblast.exe」が動作しているかどうかを確認し、もし動いていればそのプロセスを停止させる。さらに、http://download.microsoft.com/download/以下の8つのURLにアクセスして、MS03-026のセキュリティホールを修正するためのパッチをダウンロードし、適用させようとする。ご丁寧なことに、コンピュータの日付が2004年1月1日になれば、自身を無効化する機能もあるという。
しかし、いくらMSBlastを停止させ、正しいパッチを適用させようとするからといって、このワームも立派なワームの1つだ。今はなんら不審な動作をしないとしても、今後、悪意ある目的に利用されないとも限らない。また、ICMPトラフィックがネットワークに及ぼす影響も無視できない可能性がある。
したがってMSBlastへの対処と同様、駆除ツールやウイルス対策ソフトによるブロックを行うとともに、自らの手によるパッチの適用と、企業ファイアウォールおよびパーソナルファイアウォールソフトなどを用いてのポートフィルタリングが重要だ。
関連記事
特集:Windowsを危険にさらすRPCのセキュリティホール当初の報告よりもずっと深刻だったWindows 2000のセキュリティホール関連リンク
インターネット セキュリティ システムズトレンドマイクロ:WORM_MSBLAST.DNetwork Associates:W32/Nachi.wormSymantec:W32.Welchia.WormF-Secure:Welchiアンラボ:Win32/Welchia.worm[高橋睦美,ITmedia]
