モグラのウィルス教室(その16 「W32/MSBlaster」(MSブラスター)



「W32/Aliz.A」  「W32/Badtrans.B」  「ウィルスメール対処法」  「Goner.A」  I.Eのバグ  「W32/Meldal.C」 

「JS_Exception」 MYPARTY.A PE_MAGISTR.A WORM_FBOUND.C WORM_KLEZ.H WORM FRETHEM

JDBGMGR.EXE BUGBEAR VBS/Redlof MSBlaster Sobig.F

 

Windows XPをお使いの方“MSブラスター”に注意!! 

システムを再起動します」が出たら感染している可能性あり。ご注意を!!
今すぐ、Windows Updateを行って下さい。
モグラのサーバーには昨日から数百件の攻撃が仕掛けられました。

★最新情報 亜種「MSBlast.D」が蔓延しています2003/08/27

 先々週のお盆期間中に流行したウィルス「WORM_MSBlast.A」(ワーム エムエスブラスト エー)に代わり、8/19頃より
亜種の「WORM_MSBlast.D」が蔓延しております。
 アンチウィルスソフトメーカーより発表されている各ウィルスの特徴をまとめると以下の通りです。

<<感染の影響を受けるシステム>>
・Windows2000(ServerやProfessionalなどすべてのEdition)
・WindowsXP(HomeEditon、Professional)

 Windows95、Windows98、WindowsMEには感染しません。

<<WORM_MSBlast.D>>
 感染すると、インターネットに接続しているパソコンに向けてランダムに信号を発信
し続けます。 
 ※感染してもパソコンに症状が現れません。

<<WORM_MSBlast.A>>
 感染すると、カウントダウンが始まりWindowsが再起動されます。

詳細はOni−Net

1.MSブラスターって、どんなウィルス?(「ウィルス絵解き理解」はここをクリック)
   

2003/08/17

Blaster ワームへの対策 - Windows XP 編

 マイクロソフトにしては珍しく(^^ゞ、分かりやすい説明です。
 XPをお使いの方、まずはこちらで概要を学んでください。↓

http://www.microsoft.com/japan/technet/security/virus/blasterE_xp.asp


(1)8月12日早朝から急激に増加。

 2003年8月12日に発見されたワーム型ウィルスで、急激に感染を拡げているため、ラジオやテレビでも盛んに注意を呼びかけています。
マイクロソフト社の Windows RPC(Remote Procedure Call:システム間で通信を行なうための電送手順の一つ) の脆弱性を攻略します。

 Windowsのセキュリティホールを悪用したトロイの木馬の登場によって、8月12日にはとうとう、自らを複製する能力を備えたワーム「MS Blasteter」が登場。北米を中心に、急速に感染を広めながら、日本にも上陸しました。

(2)感染するOSは次の通りです。

Windows NT Server 4.0
Windows NT Server 4.0,Terminal Server Edition
Windows 2000
Windows XP
Windows Server 2003


(3)お盆明けが要注意!!

 感染したシステムの日付が2003年8月16日になると windowsupdate.com に DoS 攻撃をします。

 MS Blaster(ウイルス対策ベンダーによっては「MSBlast」あるいは「Lovsan」とも称している)は、TCP 135番ポートを通じ、Windows RPCのセキュリティホールを悪用して感染を広めようとします。8月16日以降には、Windows Updateサービスに対するサービス妨害(DoS)攻撃を仕掛けようとする仕掛けも備えています。

 自宅に持って帰ったPCを、お盆明けに会社のサーバーに接続したトタンに感染を拡げる可能性があります。


(4)以下の症状が見られる場合、このウイルスに感染している可能性があります。

 ・ウィンドウズシステム32ディレクトリ内にmsblast.exeファイルが存在する。

 ・「システムを再起動します」というメッセージが出て再起動したため、RPCサービスに失敗したことに関するエラーメッセージがでる。

 ・異常なTFTPファイルが存在する

↑上記に一つでも思い当たることがあれば、必ず、下記の対策を実行して下さい。
 


2.「W32/MSBlaster」に感染するとどうなる?

このワームは、TCP 135 ポートを用いて、下記の脆弱性を攻略し、msblast.exe という名のファイルをダウンロードし、実行を試みます。

「RPCインターフェースのバッファオーバーランによりコードが実行される(MS03-026)」
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp

ワームが実行されると、下記のレジストリに msblast.exe を登録し、パソコン起動時にワームが実行されるように改変します。また、ランダムに感染対象を検索し、感染拡大を試みます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update

さらに、感染したシステムの日付が2003年8月16日になると windowsupdate.com に DoS 攻撃をします。


3.「W32/MSBlaster」に感染していた場合の対処

■このウイルスを駆除するためにはマイクロソフト修正プログラムを、先に適用することが必要です。ご使用のシステムがこの脆弱性の危険にさらされていないかを確認してください。


感染してしまった場合は、Windows ディレクトリに作成されたプログラムファイル(msblast.exe)の削除とレジストリの修正が必要となります。

手動による方法:

手動による修復方法は、マイクロソフト社の情報、および下記ワクチンソフトウェアベンダーのサイトに掲載されています。

手動による修復は、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。

修復ツールによる方法:

無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。
各ベンダーが記述している 「使用上の注意」をよく読み自己の責任において使用してください

2003/08/17

以下に、修復ツールの入手先を記載いたします。


予防策をお知らせします。

これだけは必ずやってね。(モグラのお願い)

★Windows Updateを忘れずに!

 感染した方のほとんどは、1年以上もUpdateされてない方が多いようです。
 面倒でも1ヶ月に1回は必ずUpdateするよう心がけて下さい。



日本ネットワークアソシエイツ(McAfee)のサイト
http://www.nai.com/japan/security/virL.asp?v=W32/Lovsan.worm


トレンドマイクロのサイト
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A&VSect=T


シマンテックのサイト
http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.html


情報処理振興事業協会 セキュリティセンター(IPA/ISEC)のサイト
http://www.ipa.go.jp/security/topics/newvirus/msblaster.html


「W32/Aliz.A」  「W32/Badtrans.B」  「ウィルスメール対処法」  「Goner.A」  I.Eのバグ  「W32/Meldal.C」 「JS_Exception」 

MYPARTY.A PE_MAGISTR.A WORM_FBOUND.C WORM_KLEZ.H WORM FRETHEM JDBGMGR.EXE BUGBEAR VBS/Redlof MSBlaster  Sobig.F 


「お助け大明神」モグラ宛のメール mogura@ybok.jp へ