2009年6月11日木曜日

高バイト

発見日: 2003 年 8 月 19 日
更新日: 2007 年 2 月 13 日 12:12:21 PM
別名: WORM_MSBLAST.E [Trend], W32/Lovsan.worm.d [McAfee], W32/Blaster-D [Sophos], Win32.Poza.D [CA]
種別: ワーム
感染サイズ: 11,776 バイト
影響を受けるシステム: Windows 2000, Windows XP

W32.Blaster.D.Worm が実行されると、次のことを行います。
  1. コンピューターがすでに感染していないか、およびこのワームが実行中でないかをチェックします。その場合は、このワームはそのコンピューターに 2 度目に感染することはしません。

  2. 次のレジストリキーへ

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runon

    次の値を追加します。


    " Nonton Antivirus"="mspatch.exe"

    これにより、Windows が起動された時にこのワームが実行されるようにします。

  3. IP アドレスを収集し、そのアドレスを持つコンピューターへの感染を試みます。次のアルゴリズムに従って、IP アドレスが生成されます。
    • 時間のうち 40% では、生成される IP アドレスは A.B.C.0 のフォームになります。ここで、A と B は、感染したコンピューターの IP アドレスの最初の 2 パーツと同じになります。

      C も感染したシステムの IP アドレスの 3 番目のパーツによって算出されますが、この 40% の時間では、このワームは C が 20 より大きな数字でないかをチェックします。 20 よりも大きな数字である場合は、20 より小さいランダムな値が C から差し引かれます。この IP アドレスが算出されると、ワームはこの IP アドレス A.B.C.0 を持つコンピューターを探して悪用しようとします。

      次にこのワームは、この IP アドレスの 0 部分を 1 増分して、これが 254 に達するまで、新しい IP アドレスに基づいて他のコンピューターを探して悪用しようとします。

    • 時間のうち約 60% の確率では、生成される IP アドレスは全くランダムなものとなります。

  4. DCOM RPC における脆弱性を悪用して、TCP ポート 135 でデータを送信する可能性があります。このワームは、2 タイプのデータのうちいずれかを、Windows XP または Windows 2000 のいずれかを悪用するために送信します。

    時間のうち 80% の確率で、Windows XP のデータが送信され、20% の確率で Windows 2000 のデータが送信されます。

    注意:
    • ローカルサブネットは、ポート 135 のリクエストで飽和状態になります。
    • W32.Blaster.D.Worm は Windows NT や Windows サーバー 2003 へは拡散はできませんが、これらのオペレーティングシステムを実行しているパッチ未適用のコンピューターは、ワームによるこれらの悪用の試みの結果として クラッシュする可能性があります。しかし、このワームは、これらのオペレーティングシステムを実行しているコンピューター上へ手動で置かれて実行される と、実行および拡散が可能になります。
    • ワームが悪用するデータをどのように構成するかはランダムな性質であるため、これによ り、正しくないデータを受信した場合に RPC サービスがクラッシュする可能性があります。これは、正しくないデータの結果としてエラーを生成し、svchost.exe として表されることがあります。
    • RPC サービスがクラッシュした場合、Windows XP および Windows サーバー 2003 でのデフォルトでの動作は、コンピューターを再起動することです。この機能を無効にするには、後述の「駆除手順」セクションのステップ 1 を参照してください。

  5. Cmd.exe を使用して TCP ポート 4444 で待機する隠れたリモートシェルプロセスを作成し、攻撃者が感染したシステム上でリモートコマンドを発行できるようにします。

  6. UDP ポート 69 で待機します。ワームは、DCOM RPC を悪用して接続できたコンピューターからリクエストを受信すると、mspatch.exe をそのコンピューターへ送信し、そのワームを実行するように指示します。

  7. 現在の日付が 1 月から 8 月までの 16 日から月の終わりまでの日である場合、または現在の月が 9 月から 12 月までの月である場合には、ワームは Windows Update でサービス拒否攻撃 (DoS) の実行を試みます。しかし、このサービス拒否攻撃 (DoS) が成功するのは、次のいずれかの条件に該当する場合のみとなります。
    • ワームが、感染していたかまたはペイロード期間中に再起動されたかのいずれかの Windows XP コンピューター上で実行された場合
    • ワームが、ペイロード期間中に感染しかつ感染してから再起動されていない Windows 2000 コンピューター上で実行された場合
    • ワームが、感染してからペイロード期間中に再起動されており、現在ログインしているユーザーが管理者である Windows 2000 コンピューター上で実行された場合

  8. このサービス拒否攻撃 (DoS) のトラフィックには、次の特徴があります。
    • windowsupdate.com のポート 80 での SYN フラッドである。
    • 1 秒ごとに 50 HTTP パケットの送信を試みる。
    • 各パケット長は 40 バイトである。
    • ワームが、windowsupdate.com の DNS エントリを見付けられなかった場合は、宛先アドレス 255.255.255.255 を使用する。
    変更された TCP および IP ヘッダーの特徴のうちいくつかは次のとおりです。
      • IP identification = 256
      • Time to Live = 128
      • ソース IP アドレス = a.b.x.y ここで、a.b はホスト ip からのものであり、x.y はランダム。場合によっては、a.b がランダム。
      • 宛先 IP アドレス = "windowsupdate.com" の dns レゾリューション
      • TCP ソースポートが 1000 から 1999 までの間
      • TCP 宛先ポート = 80
      • TCP シーケンスナンバーが常に、0 へ設定された 2 つの低バイトと、ランダムな 2 つの高バイトを保持している。
      • TCP Window サイズ = 16384

このワームには次のテキストが含まれており、これは決して表示されません。