萌えラジ　2003.08.11

584：ふたなりねこしお181</b><font color=#FF0000>（NekomS36）</font><b>：2003/08/13(水) 15:43: msblast.exeの変種が来たよ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_RPCSDBOT.A
----------------------------------------------------------------------------------------------
このセキュリティホールは Windows NT/2000/XP/2003Server のみのものです。
Windows 95/98/Me のコンピュータに対してワームは侵入できません。
対応方法:
検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、
他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですので
ウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。
製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合
「駆除できません隔離成功」などと表示されますが正常な表示です。

・侵入方法：
　ワームはTFTPを利用して感染元から感染先に転送後、自動実行されます。
ただし、Windowsのセキュリティホールが存在しなければ侵入されることはありません。

・感染確認方法：
　ワームが侵入した場合にはWindowsのシステムディレクトリにワームのコピーである "winlogon.exe" が
作成されます。また、レジストリの値が変更されます。
・感染していた場合の対処：
　まず、Windowsのセキュリティホールが存在しなければ侵入されることはありません。
必ずセキュリティホールの修正を行ってください。修正方法は以下のマイクロソフトの情報をご参照ください。

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_RPCSDBOT.A&VSect=T
・詳細
ワームは実行されるとWindowsのシステムフォルダに以下のファイルをコピーします：
winlogin.exe
yuetyutr.dll
"winlogin.exe"はワームの本体です。"yuetyutr.dll"はワームのプロセスを"explorer.exe"のプロセスに
挿入する活動の際に使用されるモジュールです。
次にWindowsのレジストリの値を変更します

・ワーム活動：
　ワームは自身のTFTPサーバ機能を持っており、感染元コンピュータ内でTFTPサーバとして機能します。
　ワームはランダムなIPアドレスのポート135番にアクセスし、Windowsのセキュリティホール
「RPC DCOM バッファオーバーフロー」を攻撃します。対象のIPアドレスにセキュリティホールのあるコンピュータが
存在した場合、ワームがフルアクセスの権限でコンピュータ上のファイルを実行できるようになります。
権限が得られた場合、ワームは以下の手順で自身のコピーを転送します。
１）感染先コンピュータ上でポート4444番を使用したリモートシェルを起動し、外部からコマンド実行できるように設定します。
２）リモートシェルにコマンドを送信し、自身のコピーである"WINLOGON.EXE"を感染先コンピュータにダウンロードさせます。
ダウンロードされた"WINLOGON.EXE"はWindowsのシステムフォルダに作成されます。
３）リモートシェルにコマンドを送信し、転送された自身のコピーを実行します
　これにより、感染先コンピュータでワームが活動を開始します。

・バックドア活動：
　ワームはIRCを利用したバックドア型ハッキングツールとして機能します。ワームは任意のIRCサーバに接続し、
ランダムなニックネームでチャットに参加します。設定によってはチャット参加時に外部のハッカーに対して
IRCメッセージを送信します。外部のハッカーはIRCを利用してハッキングツールにコマンドを送信し、
リモートコントロールすることができます。
　このハッキングツールの活動は「SDBOT」と呼ばれるハッキングツールシリーズをベースにしたものと考えられます。
---------------------------------------------------------------------------------------------------
まあ　バッチ当ててたら大丈夫かな

萌えラジ 2003.08.11