RPC DCOMな穴を塞ぎ、MSBlastを除去する新ワーム 115
ストーリー by Oliver
毒で毒を制しても毒はやっぱり毒 部門より
毒で毒を制しても毒はやっぱり毒 部門より
_Si 曰く、 "zdnetによると、MSBlast類似の新種ワームが発見されたとのこと。このワームの変わったところは、MSBlastに感染しているマシンに感染するとMSBlastの動作を停止し、感染源となったセキュリティホールをMicrosoftからパッチを落として埋めるという挙動をするところにあり、さらに、2004年1月1日になると自身を停止するという。
もしこのワームによって効率的にパッチを充てられるなら、今後はセキュリティホールが見つかったらそれを利用して感染し、穴を埋めるワームをMicrosoft自身が作るとか……
とか言ってるとネットワーク管理の人に怒られるですか。ping飛ばしまくるみたいですし。"
日本語版Windowsにはパッチをあてない (スコア:5, すばらしい洞察)
経済産業省 新種ワームの発生に関する注意喚起について [meti.go.jp] それから、アジア地域に最適化されているという解析結果があるそうです。
Internet Security Systems MSRPC DCOM ワーム「MS Blast」の蔓延 [isskk.co.jp] 作者はアジア地域の人で、日本だけパッチがあたらないようにした……とか言ってみるテスト。
余計なお世話 (スコア:3, 参考になる)
Re:余計なお世話 (スコア:1, 参考になる)
DCOM無効化 [microsoft.com]で対策を行ったPCは、パッチを当てた当てないにかかわらず "unable to determine patch status" になるようです。察するにスキャンツール自体もDCOMを使っていて、それを塞がれるとミもフタもないのでしょう。
# なぜか職場からだとログインできないのでAC
Re:余計なお世話 (スコア:1)
>思うんだけど、見分けられないのか。
う,勘違い。
手動で穴はふさいだけど,亜種だけのこってたらしい。
>見分けつかなくなったって、見分けがつかない=クリーンである ということでしょ?
最初は,「本物の駆除&穴ふさぎ」の方法が周知されていたため,穴なし≒クリーンとみなせたんだが,
亜種のせいでそうとも言えなくなった,というのが最初に言いたかったこと。
#前提が崩れたので「穴を勝手にふさぐから迷惑」ではなくなってしまった。亜種であるというだけで十分迷惑だが。
人間善玉大量パケットも発生中 (スコア:3, 興味深い)
社内に蔓延して逆に帯域を埋め尽くす事態が発生。
ちゃんとした範囲指定してくれるといいのだけど、凄い広い範囲指定するもんだから「使わないで下さい」って注意して回りました。
穴を埋める「ワーム」ではなく (スコア:2, すばらしい洞察)
theta
善意のように見えますが (スコア:2, 参考になる)
ここ [discreet.jp]
今回の対応パッチを当てることにより、discreet社の
アプリケーションの一部に、以下の問題が起こることが
報告されています。
「セーブファイル破損」
「破損したファイルをExploreでクリックするとExplore強制終了」
「アプリそのものとアプリ起動後のOSの動作が不安定になる」
こういうこともあるので、勝手にパッチ当てられると
困ります。っていうか、すげー困ってます。
P.S.
本来はdiscreet(MSかも)の問題解決に期待すべきなのは
言うまでもないですが。
Re:善意のように見えますが (スコア:1)
#Win95の時代の人間なのでこんなことを言いたくなった
<ナイスな返事をいただいた方を、スラドモに指定する方針でいこうかと…恐縮ですが>
無償対策CD (スコア:2, 参考になる)
善玉菌ならぬ (スコア:1, おもしろおかしい)
と、ニュースサイトで記事を読んだときは思いましたが、やっぱり害もあるのですね。
Re:善玉菌ならぬ (スコア:2, 参考になる)
このワームがMicrosoftからパッチをダウンロードしてあてるのは、OSがWindows 2000かXPでデフォルトの言語が英語(アメリカ合衆国)、中国語(中国)、中国語(台湾)、韓国語の場合だけです。それ以外の環境ではパッチをあてることはないので、対象外のOSでは単に迷惑なだけです。(そうでなくても、こういう手法は良くないことですが。)
Re:善玉菌ならぬ (スコア:0)
やっぱりつかまっちゃうんですかね。
よくわかってない裁判官なら
情状酌量とか大いにありそうだが。
Re:善玉菌ならぬ (スコア:1)
use Test::More 'no_plan';
Re:善玉菌ならぬ (スコア:1)
Re:善玉菌ならぬ (スコア:1)
あやや、そうでしたか…失礼しました。
いつも読み飛ばしていたかな?
Re:善玉菌ならぬ (スコア:0)
きっと、MSBlastに振り回されたどこかのシステム管理者が
「どいつもこいつも、穴塞ぎやがれゴルァ」
と怒鳴り散らしながら作ったのでしょう。
Re:善玉菌ならぬ(スコア:-1 余計なもの) (スコア:1)
ワームも広義ではウイルスですね。:-p
あまりにもくだらないけどID
有無自在
Re:善玉菌ならぬ (スコア:0)
自作自演に一票! (スコア:0)
MSBlast自体にも偽善的なメッセージが埋め込まれてるわけだし。
ワームはワーム (スコア:1, 興味深い)
メールが届いてました
該当ネットワーク上に不正な大量データが送信され通信
パッチを当ててくれるから、よいワームといわれようと、が不安定になっていたため原因となる発信元をネットワーク
から切り離すとともに関連する通信装置を強化した
影響内容: インターネットへの接続が断続的にできなくなる
余計なトラフィックを増やすなら、よいワームではない。
#っていうか、よいワームってあるの?
後になって (スコア:0)
# どっからくんねん
こいつか!! (スコア:1, 参考になる)
大量に送られてきてルータが死にかかってたみたいだった。
こいつの所為だったか。
それにしても何でウチにこげな大量に送りつけてきたんだか。
Re:こいつか!! (スコア:0)
答え:
たくさんウィルスが居そうだったから
せめて (スコア:1)
昔の bit 誌で (スコア:1, 参考になる)
関するアイディアを見たような気がします。よもや実現しようとは思いませんでした。
Core Warsのことかな。 (スコア:2, 参考になる)
Code Redの時にもCode Greenってのがあったし、そのときも
Core Warsの話が出てたなあ、と思ったら、検索にしっかりひっかかってた。
どこが善意なの? (スコア:1, 参考になる)
結局は凄い勢いでネットワーク資源を無駄に消費するし、 駆除作業も必要な単なるワームですよ? いつものワーム と同様の論調で報道してくれればそんなに腹は立たない んですけど……
# 仕事にならなかった分を今頃補填しているので AC
Re:どこが善意なの? (スコア:1)
/* ココアどこ?私はココ。 */
諦めが肝心 (スコア:1, 参考になる)
何度か自己増殖に失敗or成功したら来年待たずに自分自身を消すようにしておくとか。
もう少し人様に迷惑をかけない自己増殖の仕方は無かったんだろうか?
ところで、一昨日からMSIE5.5/Windows98を騙ってTCP80を突付いて来てるのもコイツかな~。
Re:諦めが肝心 (スコア:1, 興味深い)
うちにも同じのが来ています。
このワームって、ICMPに返答があったIPに対してport 135をつつくものと聞いていたので、
HTTPでアクセスしてくるのは何者だろうと思っていたのですが、
ICMPパケットをすべてDROPするようにしたところ、パッタリと止んだのでやはりこいつだったようです。
ちなみにこいつのUserAgentはこれ。
Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
でも、(うちは/index.htmlしかないのですが)トップページを取得したあと何をするわけでもないようです。
ひょっとすると、ServerがIISだったらIISの穴もついてみる、なんてこともやろうとしてるのかな?
修正パッチのありか (スコア:1)
参考:MSBlastの攻撃対象アドレスは、実は正確でなかった?
(http://www.hotwired.co.jp/news/news/technology/story/20030818302.html)
駆除して下さい。 (スコア:1)
VirusScan を購入してなくても使える様子。
Virus 情報 [nai.com]は、ここかな。
ただし、お客様の声には、疑問。
>「定義ファイルは更新したので、特に気にしていません。
> 来たとしても防げるでしょう」
定義ファイルよりも先に Virus は誕生するし、
定義ファイルをちゃんと更新していないユーザもいるはず。
Virus に感染する瞬間は存在するのだから、
気にしなくちゃ。
「VirusScan が入っているから大丈夫!」
って、意識のユーザは危ない。
あと Windows Update もして欲しい。
Re:駆除して下さい。 (スコア:2, 興味深い)
>って、意識のユーザは危ない。
最近の個人ユーザの中には、「ISPが提供しているメールのウィルススキャンサービスに入っているから大丈夫!」なんてこと
を言って、自分のPCにVirusScanの類を入れない人もいるんですよね。
そんなPCを会社のLANに勝手につながれて、「あーぁ」ってことに…。
今回の一件を機会に、「届くメールを警戒するだけではダメ」という認識が世間に広がることを期待します。
対策してください。 (スコア:1)
もしそうならすごく負荷が高そうです。
そうでなければ1時間毎に駆除しても10分後には再感染とかなりそうな気が。
お手軽な駆除方法 (スコア:1)
各社その種のツールは公開していますね。でも、もっとお手軽な駆除方法があります。
日付を2004年にして再起動すればワームがワーム自身を駆除してくれます。レジストリもワーム本体も、きれいサッパリに。ただしシステムフォルダのwins/svchost.exeは残ってしまうので、これだけは手動で削除する必要があります。(svchost.exeはウイルスではないので残っていても害はないのですが)
Re:お手軽な駆除方法 (スコア:1)
動かなくなる可能性があります。
# 日付戻しなどに敏感なソフト。
コンピュータの時間を気軽に変えるのは、
やめた方が良いでしょう。
現実問題として・・・・ (スコア:1)
「俺は大丈夫だ」と変な自信を持っている方がいる限り、
いたちごっこですな(^_^;)
しばらくすると、みんな"のど元過ぎて熱さを忘れちゃう"
と思います。
で、またまたおっきなセキュリティホールが見つかって、それを
悪用したワームが・・・・・・・・・・・
OSの問題もそうですが、「ユーザーの意識」を変えることも
対策の一つだと思う私です。
======= nandabe =======
ICMP NAT table (スコア:0)
不謹慎なのでAC
Re:ICMP NAT table (スコア:1, すばらしい洞察)
Re:ICMP NAT table (スコア:0)
#仕事中、そんな悲鳴を上げているメールが流れてきました。
DoS by ICMP (スコア:0)
夕方から仕事にならなかったらしい。
しかし、だからといって、早く帰れる人と帰れない人がいるのよね。
Re:DoS by ICMP (スコア:1)
早く帰る人については、ワームの侵入と増殖をむざむざと
許して、くさりに腐りまくっているネットワークでストレス
ためこみながら仕事をしたくないという場合もあると思われ。
「帰れる」のではなく「帰るしかない」わけです。
--- Toshiboumi bugbird Ohta
Re:DoS by ICMP (スコア:1, すばらしい洞察)
早く帰れないのは上記の人達に日頃から口煩いと思われてる人
理由は
「だってよくわかんないんだもん」と
「だから普段から言ってるじゃないか」
Kiyotan
そういえば (スコア:0)
Re:IDにしてはタレコミ早かったほうだね (スコア:1)
一応ACの方等の参考のために書いておきますと、
このタレコミの送信時刻は 2003-08-19 10:34:01と
記録されています。
zdnetの記事は同日 08:42:00更新となってますので
もっと早い時間にタレコんだ方がいてもおかしくないのですけれど。
Re:まだパッチ当ててない奴を有罪に (スコア:1)
「動いている物はいじるな」
という考え方は完全に時代遅れどころか、今では犯罪的ですらある
という認識がIT業界に広まってくれるとうれしいですね。
Re:まだパッチ当ててない奴を有罪に (スコア:1)
車を無免許運転しているのと変わり無い。
周りに迷惑をかけるなら、触らないほうが良いでしょう。
Re:まだパッチ当ててない奴を有罪に (スコア:1)
Lnux/FreeBSD の ISO イメージも、数年前は、一旦落としてきたら大事に保管してローカルで使いまわしたものだが、今や必要な時に取ってくればOKなんて気質が染み付いてしまったいる。
少し反省。
Re:NT4WS 死す (スコア:1)
http://support.microsoft.com/default.aspx?scid=kb;ja;250867
高度暗号化の IE があると Service Pack 6a をインストールできない
Re:別の亜種? (スコア:1)
このストーリーで問題になっているワームは、
タレコミ文からリンクされている ZDNnet の記事の最後に載っている通り、
なお、毎日新聞だとこっち [mainichi.co.jp]のように、
URL に「archive」という文字列を含んでいるページのほうが長く残っているらしいです。
鵜呑みにしてみる?