発見日: 2003 年 8 月 19 日
更新日: 2007 年 2 月 13 日 12:12:21 PM
別名: WORM_MSBLAST.E [Trend], W32/Lovsan.worm.d [McAfee], W32/Blaster-D [Sophos], Win32.Poza.D [CA]
種別: ワーム
感染サイズ: 11,776 バイト
影響を受けるシステム: Windows 2000, Windows XP
W32.Blaster.D.Worm が実行されると、次のことを行います。
- コンピューターがすでに感染していないか、およびこのワームが実行中でないかをチェックします。その場合は、このワームはそのコンピューターに 2 度目に感染することはしません。
- 次のレジストリキーへ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runon
次の値を追加します。
" Nonton Antivirus"="mspatch.exe"
これにより、Windows が起動された時にこのワームが実行されるようにします。
- IP アドレスを収集し、そのアドレスを持つコンピューターへの感染を試みます。次のアルゴリズムに従って、IP アドレスが生成されます。
- 時間のうち 40% では、生成される IP アドレスは A.B.C.0 のフォームになります。ここで、A と B は、感染したコンピューターの IP アドレスの最初の 2 パーツと同じになります。
C も感染したシステムの IP アドレスの 3 番目のパーツによって算出されますが、この 40% の時間では、このワームは C が 20 より大きな数字でないかをチェックします。 20 よりも大きな数字である場合は、20 より小さいランダムな値が C から差し引かれます。この IP アドレスが算出されると、ワームはこの IP アドレス A.B.C.0 を持つコンピューターを探して悪用しようとします。
次にこのワームは、この IP アドレスの 0 部分を 1 増分して、これが 254 に達するまで、新しい IP アドレスに基づいて他のコンピューターを探して悪用しようとします。
- 時間のうち約 60% の確率では、生成される IP アドレスは全くランダムなものとなります。
- 時間のうち 40% では、生成される IP アドレスは A.B.C.0 のフォームになります。ここで、A と B は、感染したコンピューターの IP アドレスの最初の 2 パーツと同じになります。
- DCOM RPC における脆弱性を悪用して、TCP ポート 135 でデータを送信する可能性があります。このワームは、2 タイプのデータのうちいずれかを、Windows XP または Windows 2000 のいずれかを悪用するために送信します。
時間のうち 80% の確率で、Windows XP のデータが送信され、20% の確率で Windows 2000 のデータが送信されます。
注意:- ローカルサブネットは、ポート 135 のリクエストで飽和状態になります。
- W32.Blaster.D.Worm は Windows NT や Windows サーバー 2003 へは拡散はできませんが、これらのオペレーティングシステムを実行しているパッチ未適用のコンピューターは、ワームによるこれらの悪用の試みの結果として クラッシュする可能性があります。しかし、このワームは、これらのオペレーティングシステムを実行しているコンピューター上へ手動で置かれて実行される と、実行および拡散が可能になります。
- ワームが悪用するデータをどのように構成するかはランダムな性質であるため、これによ り、正しくないデータを受信した場合に RPC サービスがクラッシュする可能性があります。これは、正しくないデータの結果としてエラーを生成し、svchost.exe として表されることがあります。
- RPC サービスがクラッシュした場合、Windows XP および Windows サーバー 2003 でのデフォルトでの動作は、コンピューターを再起動することです。この機能を無効にするには、後述の「駆除手順」セクションのステップ 1 を参照してください。
- Cmd.exe を使用して TCP ポート 4444 で待機する隠れたリモートシェルプロセスを作成し、攻撃者が感染したシステム上でリモートコマンドを発行できるようにします。
- UDP ポート 69 で待機します。ワームは、DCOM RPC を悪用して接続できたコンピューターからリクエストを受信すると、mspatch.exe をそのコンピューターへ送信し、そのワームを実行するように指示します。
- 現在の日付が 1 月から 8 月までの 16 日から月の終わりまでの日である場合、または現在の月が 9 月から 12 月までの月である場合には、ワームは Windows Update でサービス拒否攻撃 (DoS) の実行を試みます。しかし、このサービス拒否攻撃 (DoS) が成功するのは、次のいずれかの条件に該当する場合のみとなります。
- ワームが、感染していたかまたはペイロード期間中に再起動されたかのいずれかの Windows XP コンピューター上で実行された場合
- ワームが、ペイロード期間中に感染しかつ感染してから再起動されていない Windows 2000 コンピューター上で実行された場合
- ワームが、感染してからペイロード期間中に再起動されており、現在ログインしているユーザーが管理者である Windows 2000 コンピューター上で実行された場合
- このサービス拒否攻撃 (DoS) のトラフィックには、次の特徴があります。
- windowsupdate.com のポート 80 での SYN フラッドである。
- 1 秒ごとに 50 HTTP パケットの送信を試みる。
- 各パケット長は 40 バイトである。
- ワームが、windowsupdate.com の DNS エントリを見付けられなかった場合は、宛先アドレス 255.255.255.255 を使用する。
- 変更された TCP および IP ヘッダーの特徴のうちいくつかは次のとおりです。
- IP identification = 256
- Time to Live = 128
- ソース IP アドレス = a.b.x.y ここで、a.b はホスト ip からのものであり、x.y はランダム。場合によっては、a.b がランダム。
- 宛先 IP アドレス = "windowsupdate.com" の dns レゾリューション
- TCP ソースポートが 1000 から 1999 までの間
- TCP 宛先ポート = 80
- TCP シーケンスナンバーが常に、0 へ設定された 2 つの低バイトと、ランダムな 2 つの高バイトを保持している。
- TCP Window サイズ = 16384
このワームには次のテキストが含まれており、これは決して表示されません。