どるこむ仲間の掲示板! 過去ログ倉庫 LOG:2003/08:
●2003年08月インデックス ●過去ログ検索トップ ■どるこむ仲間の掲示板へ
2003年08月 # / 160

. ()


[3467] Blasterのその後 (16 レス)
2003/08/18(Mon) 20:47:52		 Pico_Chan さん
Web: (none)
休み明けの月曜日、お守りしているサーバ数台に脆弱性対策パッチを当てました。やれやれ。
この作業を終えてほっとお茶を飲んでいたら、皆のPCが調子悪くなっていることに気づきました。
ExcelがOLEエラーを出したり、Explorerの動作がおかしくなったり...
理不尽なエラーメッセージがぞろぞろと。

調べてみてもBlasterのファイル本体は入っていませんでした。
Blasterって一撃必殺で侵入してくるものじゃなかったのですね。
侵入の企てのほとんどは失敗し、その結果、PCの調子が悪くなるのですな。
感覚としては、「まれに」侵入に成功するという感じです。

「まれに」侵入に成功すると、
@system32に「TFTPnnnn」(nnnnは任意の数字)ファイルを作り
A「TFTPnnnn」を「msblast.exe」にリネーム
B自動起動するようにレジストリを書き換える
と動作するようです。

ウイルススキャンは@の段階で警告を発し、その後の悪さするのは防いでくれますが、PCの調子の悪いのは治してくれません。
@のファイルを採取したのでいろいろ実験してみたのですが、これ自体はレジストリを改変する機能は無いようです。
これではメールに添付して送りつけても、あまり効果的な嫌がらせにはなりませんな。

1. うっそ〜ん将軍 2003/08/18(Mon) 21:37:13
>ExcelがOLEエラーを出したり
うちのお客さんでもODBCでのエラーがありました。
大変でしたわ・・・

2. kouno 2003/08/18(Mon) 21:57:16
隊長、4台発見、うち2台は駆逐しました(^^ゞ

残存2台は個人の端末なので自分で治せと・・・。
上司様から全国のNT系端末100台以上に修正パッチ導入しろと・・・。

えぇ、地獄でした。

3. Beth 2003/08/18(Mon) 22:20:08
脆弱性があるPCを特定するツールが出ていたようです。
http://support.microsoft.com/default.aspx?scid=kb;ja;826369

4. Casper-01@RTS 2003/08/18(Mon) 23:43:46
なんか、異常にICMPが増えているんですけど (-ω-;)

21:00頃から、50件/hの割合で・・・

*** 最後の一行追加 00:44 ***

5. Beth 2003/08/19(Tue) 00:47:13
3個目の亜種が現れた模様です。WORM_MSBLAST.D
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T

なお、念のため。
WORM_MSBLAST.A(オリジナル)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
WORM_MSBLAST.B (亜種)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.B
WORM_MSBLAST.C (亜種)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.C
WORM_MSBLAST.E (亜種)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.E

# 8/19 01:51 追記
# 8/19 17:50 WORM_MSBLAST.E 及び、下記追記
 注:上記ワーム名・リンクはTrendMicroです。ワーム名はワクチンメーカにより名称が異なります。

6. Beth 2003/08/19(Tue) 09:13:53
3個目の亜種 WORM_MSBLAST.D の詳細です。

「パッチを充てて自己消滅するMSBlast亜種ワーム」(CNET)
http://japan.cnet.com/news/ent/story/0,2000047623,20060462,00.htm

概略

・ このワームは、自分自身や他のMSBlastワームがWindowsシステムへの
 感染に利用している脆弱性に、パッチを充てる。
・ このワームはWindows XPとWindows 2000の英語、韓国語、中国語バージョンの
 セキュリティホールのみ塞ぐ。
 また既に感染したコンピュータのワームを駆除するものではない。
・ ただし、上記動作時にネットワークに負荷をかける恐れあり。

とのことです。

# 8/19 09:25 CNET表題追記

# 8/19 09:50 下記追記、 8/19 10:17 ZDNETリンク追記
 昨晩頃から ICMP (PING)が増えているのは、A〜Cの場合と異なり、
 このWORM_MSBLAST.Dが攻撃対象検索時にPINGを飛ばしているからかも。

 参考「MSBlastを掃除しパッチを当てる新ワーム」(ZDNET)
  http://www.zdnet.co.jp/enterprise/0308/19/epn02.html

7. Tambo 2003/08/19(Tue) 09:50:25
某所で見た警察庁からの情報です。
http://www.cyberpolice.go.jp/important/20030818_233640.html

8. 毎黒仮節渡万 2003/08/19(Tue) 13:14:14
トレンドマイクロ名"WORM_MSBLAST.D"こと、Symantec名"W32.Welchia.Worm"、
会社に出現しました。私の部署では一件、サンプル捕獲(ぉ
本社では午前中サーバーとGWを停止する大騒ぎ。
いや…立川は開発職の集まりだからへいちゃらなんですが(^^;;

9. くろきし 2003/08/19(Tue) 15:24:04
なんか、ICMP喰らいまくっています
ローテクMe(←だから安心とも)+ウィルスバスター2003で大丈夫なのかな??

10. 南風 2003/08/19(Tue) 19:40:47
同じく数分に一回 ICMP を食らっています。
何これ?? (^^;;

11. Casper-01@RTS 2003/08/19(Tue) 20:49:06
どの位ひでぃかと言うと・・・
http://Rafflesia.jpn.ph/image/etc/ICMP.gif

12. 南風 2003/08/19(Tue) 21:35:05
新型ワームだそうです。
http://www.ipa.go.jp/security/topics/newvirus/welchi.html

私も数分に一回というのは間違いで、1分間に数回でした。(苦笑)

13. 毎黒仮節渡万 2003/08/19(Tue) 22:19:30
今しがた、ルーターからアラートのメールが来ました。
icmpが大量に、最短だと10秒に1回ぐらいの割合で(汗

14. i96968 2003/08/19(Tue) 22:33:54
皆さんと同じく数秒に一回位。ひどいときは違うIPから同時に2回とか。
まだこんなに対策していないマシンが‥‥

15. 毎黒仮節渡万 2003/08/20(Wed) 01:02:35
うわ、今回最初のアラートメールから2時間後に次が、
さらに30分後に3通目が来ました。
MSBLASTとその派生種はこれからが本番のようです。

16. #27@lanta 2003/08/20(Wed) 09:57:38
すでに、このワームからのメールが10通以上来てます。
2003年08月 # / 160

. ()

▲ページの先頭へ