パスワードを忘れた? アカウント作成
6321 story

WindowsUpdateに攻撃するワーム 220

ストーリー by wakatono
ええかげんにせぇ 部門より

Anonymous Coward曰く、"CNNの記事によるとマイクロソフトが運営するWindowsUpdate.comを攻撃するウイルスのようなものが(現地の)先週の土曜日から猛烈な勢いで増殖しているらしい。 CNNの記事によると、ワームには「なぜビルゲイツはこんなことを可能しているのか?金を稼ぐのをやめてソフトウェアの修正をしろ」というメッセージが埋められているらしい。"

埋められているメッセージは、"I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!"ちうもの。正体はW32.Blaster.Worm既知のRPCのセキュリティホールをつくワームだが、WindowsUpdateをまめにかけてたり各ウィルススキャナベンダのパターンファイルを最新にしておいたりということで予防/対処はできるようだ。主張してる内容はともかく、訴える手段としては最悪だ。なんでこういう手段に出るかなぁ…

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 目的とか手段とか (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2003年08月12日 23時57分 (#377759)
    犯人は大義名分の為にワームを作ったんじゃなくて、
    作ったワームをばら撒く為に大義名分を考えたんじゃなかろうか・・・
  • 取り敢えず,日本語で (スコア:2, すばらしい洞察)

    by KAMUI (3084) on 2003年08月13日 0時05分 (#377763) 日記
    CNN 日本語版の記事 [cnn.co.jp]

    このニュース,「イメージ的」にヤバいかもね。
    「WinUpdate 掛けるとウィルスに感染する」なんて
    誤解した初心者が増えたりして・・・
    • Re:ゲーツです。 (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2003年08月13日 0時40分 (#377788)

      >ビル・ゲイツ君、なぜこんなことを可能にさせているんだ?金もうけをやめて、ソフトウエアの修正をしろ!」

      毎週のようにパッチを出して修正している努力がみえんのですか!

      #キャラ選択を間違えてのでAC

      謎だな、このパッチって windowsupdate を攻撃しない為って事は反逆者を防止するプログラムってことですね。
      反逆者は強制収容所へ連行され思想教育....これまたプログラムを視覚化できればきっとこうなっていると、

      #今週はワームとパスポートの欠陥と敗訴の3本だてか、
      #ウンガッウンと何かを詰まらせて青くなっているのでAC
      親コメント
  • by Oyajikusai (1187) on 2003年08月13日 0時11分 (#377764)
    早めのパッチ&駆除。

    某所で確認できた、こやつにヤラレた場合の症状:

    ・Office製品が今までにない変な挙動(DCOMなんたらとかいうエラーメッセージを表示する)を起こす。
    ・コピー&ペーストができない。

    #ソフトを修正しろと言うだけ言っといて、ソフトの修正モジュールを配布するサイトを攻撃してる「夏だなぁ」な奴が暗躍する今日この頃。皆様いかがお過ごしでしょうか。
    • by Anonymous Coward on 2003年08月13日 0時18分 (#377770)
      60秒で再起動されるのでパニクりました(;_;)
      ファイアーウォール内なのに・・・
      蚊帳の中に入ってきた蚊に刺されまくった感じ・・・
      親コメント
      • >ファイアーウォール内なのに・・・

        感染したPCを持ち込む馬鹿や、勝手に外への口をあける
        馬鹿やら結構いますね。

        >蚊帳の中に入ってきた蚊に刺されまくった感じ・・・

        子供じゃないんだけど、会社で持ち物検査とかした方がええのでは?
        と思うこともありますね。
        親コメント
      • >蚊帳の中に入ってきた蚊に刺されまくった感じ・・・

        ♪かかずにパッチ [yamanouchi.com]
        親コメント
    • あと感染しにきた時に「svchostがエラー・・・云々」というのも
      出るみたいです。
      目の前で見ちまったし、自分のがやられた時間あたりに出ていたと
      イベントログにも残ってました。
      (2台やられて両方に残っていた)
      親コメント
      • by shivandragon (10040) on 2003年08月13日 12時00分 (#378039)
        svchosが死ぬと、XPは再起動、2000はエラーメッセージのみのよう。

        svchosが死ぬのはネットワーク経由で攻撃受けているからなので、ネットワークから外せばとりあえず、再起動&エラーは出ない。はず。
        んで、その状態で、プロセス殺して、レジストリ直して、パッチ当てて、再起動、綺麗に駆除。
        で大丈夫だと思うけど。
        親コメント
        • XPと2Kだったのですが、まさしくその通りの動作をして、
          XPは再立上げ後、感染源と変化していました^^;
          2kの方は、ウィルスバスターがTFTPでダウンロードされた
          ファイルをMSBLAST.EXEにコピーする段階で捕まえてくれ
          て、被害はありませんでした。

          復旧もその手順ですね。

          タスクマネージャでプロセスをを開いて見れば、
          MSBLAST.EXEそのまんまの名前で実行されているので、
          もしやと思う人はチェックをするとよいかもしれません。
          親コメント
    • の枕詞のあとの締めくくりは、
      やっぱり
      「ピンポーン!」あるいは「ポンピィ~!」でしょ。

      (使用例)
      枕: かかったかなと思ったら
      本文:xxxxxxxxxxx
              xxxxxxxxxxx
      〆: ポンピィ~
      --
      −・・ ・   ・ −・−・ ・・・・ −−−
      手垢で汚れた少年漫画とソースの香りがいい感じ
      親コメント
  • by SkyAngel (9501) on 2003年08月13日 14時11分 (#378139)
    xpProを使っていますが,件のパッチは早々に当てていました.
    パッチが当たっているのはレジストリで確認しました.
    毎週2回WindowsUpdate見に行く習慣が付いていましたので..

    にもかかわらず,感染しました.
    60秒後にシャットダウンというメッセージに思わず笑いました.
    # 笑うしかありませんって...

    ...私だけ?
    --
    そうじゃないだろう!
  • by Anonymous Coward on 2003年08月13日 14時53分 (#378163)
    DCOM を無効にする方法 [ryukoku.ac.jp]

    ストーリ全部を読んだんですが↑へのリンクが掲載されてないようなので、掲げておきます。

    「ネットワークに繋ぐとシャットダウンされる」ような場合に、オフラインでDCOMを無効にしてから、ネットワークにつなぎ、WindowsUpdateをかける、という手順になります。

    /.効果を軽減するため、引用しておきます。


    スタートメニューの「ファイル名を指定して実行...」から dcomcnfg と入力し [OK] をクリックしますスタートメニューの「ファイル名を指定して実行...」から dcomcnfg と入力し [OK] をクリックします。

      [既定のプロパティ] タブの [このコンピュータで分散 COM を有効にする] のチェックを外します。
  • by coco-natade (13903) on 2003年08月13日 23時39分 (#378424)
     昼近くに起床(夜の仕事ゆえ)。
    TVニュースで元記事の話を知り、まずWebで事情を確認。
    (http://www.zdnet.co.jp/enterprise/0308/12/epn07.html)

     次にバックアップのために取っておいたパッチ(MS03-026)の存在を確認。
    「すでに当ててたんだ…よし。」

     それからウィルススキャンを使用(つい先日データベースを更新)。
    「ウィルスの類は確認されず…よし。」

     巷ではネットが混雑気味だという。
    それを横目に、
    「う~ん、我ながらなんて悪運の強い。やはり日頃の行いが…」
    と思いつつ、スパイウェアのチェックと削除。
    これで/.Jに自慢話の一つでも書き込むハズだった。(ぉぃ)

    しかし、一部が削除されず。

     あせった。
    セーフモードにしても削除できない。
    何回再起動&駆除プログラム作動をさせたか、今となっては憶えていない。
    再インストールの誘惑が襲ってくる。

     盂蘭盆の時期でもあって年一回の墓参りの後、「スパイウェア」と「削除不能」で検索。
    あっさりと、関連サイトを発見。
    (http://higaitaisaku.web.infoseek.co.jp/index.html)

    #少々、オフトピック気味になってきた…

     そのサイトで、削除が困難で有名な「CnsMin」だったことを知り、唖然とする。
    それから約一時間後にようやく削除完了。
    その時すでに日は暮れていた。

     「ウィルス」や「ワーム」ではなく、「スパイウェア」の駆除で今日丸一日つぶしてしまって、我ながら情けなくなってしまった。

     やっぱり日頃の行いが…

    #バカなやつだと笑い飛ばしてやってくれい。(T^T)
    #どうせ自室は連日摂氏30度(エアコン無し)、
    #おまけにMorganの(ファン越しでの)熱い吐息もあって、
    #しばらく書き込む気力さえ起きんかった。
  • by Anonymous Coward on 2003年08月13日 0時33分 (#377781)
    マイクロソフトに約625億円支払い命令 [nikkansports.com]

    マイクロソフトの『パスポート』にまたもや欠陥 [hotwired.co.jp]

    続き、ここで話が繋がる [cnn.co.jp]と

    他とは違った機能を一般化しないと存在意義が薄れる。よってMSテクノロジーは廃止できない。
    既に枯れた技術のため一つの穴から他の穴へ応用する時間が速く小さな傷が致命的
    これが延々繰り替えされて未だにセキュアなOSにならない。

    アレゲな機能を切り捨ての他社へシェアを譲る気持ちであれば当然セキュアなOSになるだろうがそうなると
    Windows事態意味を持たなくなる可能性がある。このジレンマでしょうね。

    #シェアの取れないWindowshはクリープのないこーしー(ヒ)と同じさ
  • by piper (15067) on 2003年08月13日 0時51分 (#377798) 日記
    今日の午後から全部この対策で時間が潰れました(泣)

    それにしても社内のPCはサーバ以外プライベートアドレスのはず
    なのに感染したマシンはプライベートアドレス!!!

    感染経路の特定が終わらないのでまだ会社でお仕事中
    だれや(怒)勝手にネットワークにPC繋げてワームをばら撒いた
    奴は
    • そんなあなたにお勧めのツール
      http://www.isskk.co.jp/security_center/147/ms03-026rpc.html

      > このツールは、MS03-026 RPC DCOMに関する脆弱性を持つ可能性の
      > あるホストを見つけ出すためのツールです。
      (中略)

      > このツールは、コマンドラインツールです。検査結果をIPアドレスのリストとして、
      > 標準出力へ出力します。検査結果は以下のように表示されます。
      >
      以下Slashcodeの投稿フィルタ?に引っかかったため、全角に変換。

      > --------------------------------------------------
      > C:¥>scanms.exe 192.168.0.1-192.168.0.254
      > 192.168.0.2  [Windows XP] [ptch] [ptch] 5.6
      > 192.168.0.5  [unknown010] [????] [VULN] 0.0
      > 192.168.0.10 [Windows XP] [ptch] [ptch] 5.6
      > 192.168.0.55 [Windows XP] [ptch] [ptch] 5.6
      > --------------------------------------------------
      >
      > IP 192.168.0.5は、適切なパッチがおこなわれていません。
      > リスト上にないホストは、Port 135を使ったアクセスが出来ない
      > ホストです。出力カラムの[ptch] [VULN], [???]の部分、
      > それぞれふたつの異なる手法による検査結果を表しています。
      >
      --
      I'm out of my mind, but feel free to leave a comment.
      親コメント
    • by Wildcat (2067) on 2003年08月13日 2時00分 (#377851) 日記
      別の所で感染したノートPCを持ち込んで接続したやつが居るんじゃない? メールとか他の感染経路がないとするとそれぐらいしか考えられないよね?

      # しかしすごいね。自宅のルータのログはポート
      # 135 への接続で溢れかえってるよ。
      --
      (´д`;)
      親コメント
  • こういう事がありますし、まあそうでなくてもセキュリティ関連の修正がいろいろ出ているから一応…とWindowsUpdateを立ち上げてみると…遅ぇ~っっ!!
    どうやらすでに攻撃が効いているみたいです。これでサービス停止とかになったらそれこそどうする状態です。まあMicrosoftはすぐに参照先変えて対処するでしょうけど、対策パッチを当てられない状況にしようとしているという意味で非常にタチの悪いワームだと思います。
    • どうやらすでに攻撃が効いているみたいです。

      一応、指摘しておきます。8月以降(9月から)または15日以降(16日から)にDoS攻撃が始まるので、今はまだDoSは始まっていません。時計があっていないPCもあるけど、今は慌ててパッチをDownloadしようとしている人々で混んでいるのだと思われます。

      親コメント
      • Re:感染してなくても迷惑 (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2003年08月13日 10時34分 (#377994)
        >今は慌ててパッチをDownloadしようとしている人々で混んでいるのだと思われます。

        なるほど、すでにDDoSアタックが発生してるということですね。

        #台風の時に限ってtenki.jpがみれなくなるのでAC
        親コメント
    • by Anonymous Coward on 2003年08月13日 11時02分 (#378009)
      windowsupdate

      やってる途中に強制シャットダウン

      またwindowsupdate

      またシャットダウン

      以下くり返し

      って感じでいつもより多く混んでる感じ。
      うちも掛かってしまい、パッチすら落とせない状況になったんで、win98でパッチ取って来てなんとかなったよ。めんどくせー。

      一応パッチ
      http://support.microsoft.com/default.aspx?scid=kb;ja;823980 [microsoft.com]
      親コメント
  • マッチポンプ・・・ (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2003年08月13日 2時52分 (#377871)
    アンチウィルス系のソフト会社の対応早いよねぇ。
    つーか、早すぎねぇ?
    どうしても疑っちまうなぁ。
    • by kenston (12394) on 2003年08月13日 3時36分 (#377892)

      時間順にニュースを追いかけてみます。

      だいたい7月26日の時点で、最終的にはワームが作られるのは予想できていた訳で、普通はその時から準備をしているものです。それにこの流れを追ってきていれば、今回のワームへの対応は当然のことです。ポートを監視していれば、ウイルスは拾えるし、7月26日からちゃんと予習していれば、コードのサイズは小さいのですぐに解析できると思います。

      親コメント
    • Re:マッチポンプ・・・ (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2003年08月13日 10時44分 (#377998)
      > アンチウィルス系のソフト会社の対応早いよねぇ。
      > つーか、早すぎねぇ?

      何時間なら対応早いとか早すぎになるとかいう判断基準を持っているのですか?

      進化能力のない小型の病原体ですので、
      本体入手してから hex dumpを適当に眺めていれば
      パターンマッチングのデータ作るのはあっという間でしょう。
      しかも今回のは脆弱性を突き破るために仕組まれたパケットデータが
      内蔵されており、その部分は特徴的過ぎるため
      曖昧なパターンによる心配もする必要ない。

      しかも、ワクチン産業に従事している技術屋連中なら
      この手の小型病原体のアセンブラコードを数時間読めば
      動作の概要を説明する仕様書起こせますよ。
      特に今回のは読みにくくするためのトリックはなさそうだし。
      親コメント
  • by Anonymous Coward on 2003年08月13日 13時48分 (#378121)
    http://uptime.netcraft.com/up/graph/?host=www.terminator3.com
    SkyNET=WIN
  • なんだかRPCだけは落ちたものの肝心の(?)Worm自体が居る様子がまったく見られないのですが。
    RPCが落ちた時も回復動作が「何もしない」になっている為
    コピペが出来ない等の諸症状こそ出るもののリブートはせず。

    とりあえずパッチ宛に奔走しているもののなんだか気持ち悪い印象が残っています。
    他にServer系で感染した報告ある人居ましたら情報下さい。
    • by kenston (12394) on 2003年08月14日 1時49分 (#378490)

      RPCの脆弱性を利用する他のワームやトロージャンに殺られたという可能性が高いです。他のワームやトロージャンなので、いくら探してもmsblast.exeは見つかりません。

      もしもこのワームと仮定するならば、tftpによる転送の手順 [srad.jp]を見て下さい。そこで言う、ポート135の第一波は到達したけど、ポート4444の第二波が何らかの理由で到達しなかったかポート4444が開く前に到達したため、RPCがポート4444で待機状態になっていると思われます。そのためRPCに関するエラーは発生するけど、ワームは存在しないのかと思われます。

      親コメント
  • by lunatic_sparc (15416) on 2003年08月13日 23時14分 (#378412)
    とりあえず、うちは週末は社内 DNS サーバをいじって windowsupdate.com のクエリーには 127.0.0.1 を返すようにしようかと思ってます。

    #意味あるかなぁ。
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...