高バイト

発見日: 2003 年 8 月 19 日

更新日: 2007 年 2 月 13 日 12:12:21 PM

別名: WORM_MSBLAST.E [Trend], W32/Lovsan.worm.d [McAfee], W32/Blaster-D [Sophos], Win32.Poza.D [CA]

種別: ワーム

感染サイズ: 11,776 バイト

影響を受けるシステム: Windows 2000, Windows XP

W32.Blaster.D.Worm が実行されると、次のことを行います。

1. コンピューターがすでに感染していないか、およびこのワームが実行中でないかをチェックします。その場合は、このワームはそのコンピューターに 2 度目に感染することはしません。
   
   
2. 次のレジストリキーへ
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runon
   
   次の値を追加します。
   
   " Nonton Antivirus"="mspatch.exe"
   
   これにより、Windows が起動された時にこのワームが実行されるようにします。
   
   
3. IP アドレスを収集し、そのアドレスを持つコンピューターへの感染を試みます。次のアルゴリズムに従って、IP アドレスが生成されます。
   
   • 時間のうち 40% では、生成される IP アドレスは A.B.C.0 のフォームになります。ここで、A と B は、感染したコンピューターの IP アドレスの最初の 2 パーツと同じになります。
     
     C も感染したシステムの IP アドレスの 3 番目のパーツによって算出されますが、この 40% の時間では、このワームは C が 20 より大きな数字でないかをチェックします。 20 よりも大きな数字である場合は、20 より小さいランダムな値が C から差し引かれます。この IP アドレスが算出されると、ワームはこの IP アドレス A.B.C.0 を持つコンピューターを探して悪用しようとします。
     
     次にこのワームは、この IP アドレスの 0 部分を 1 増分して、これが 254 に達するまで、新しい IP アドレスに基づいて他のコンピューターを探して悪用しようとします。
     
     
   • 時間のうち約 60% の確率では、生成される IP アドレスは全くランダムなものとなります。
     
     
4. DCOM RPC における脆弱性を悪用して、TCP ポート 135 でデータを送信する可能性があります。このワームは、2 タイプのデータのうちいずれかを、Windows XP または Windows 2000 のいずれかを悪用するために送信します。
   
   時間のうち 80% の確率で、Windows XP のデータが送信され、20% の確率で Windows 2000 のデータが送信されます。
   

   ---

   注意:
   • ローカルサブネットは、ポート 135 のリクエストで飽和状態になります。
   • W32.Blaster.D.Worm は Windows NT や Windows サーバー 2003 へは拡散はできませんが、これらのオペレーティングシステムを実行しているパッチ未適用のコンピューターは、ワームによるこれらの悪用の試みの結果として クラッシュする可能性があります。しかし、このワームは、これらのオペレーティングシステムを実行しているコンピューター上へ手動で置かれて実行される と、実行および拡散が可能になります。
   • ワームが悪用するデータをどのように構成するかはランダムな性質であるため、これによ り、正しくないデータを受信した場合に RPC サービスがクラッシュする可能性があります。これは、正しくないデータの結果としてエラーを生成し、svchost.exe として表されることがあります。
   • RPC サービスがクラッシュした場合、Windows XP および Windows サーバー 2003 でのデフォルトでの動作は、コンピューターを再起動することです。この機能を無効にするには、後述の「駆除手順」セクションのステップ 1 を参照してください。

     ---

     
     
5. Cmd.exe を使用して TCP ポート 4444 で待機する隠れたリモートシェルプロセスを作成し、攻撃者が感染したシステム上でリモートコマンドを発行できるようにします。
   
   
6. UDP ポート 69 で待機します。ワームは、DCOM RPC を悪用して接続できたコンピューターからリクエストを受信すると、mspatch.exe をそのコンピューターへ送信し、そのワームを実行するように指示します。
   
   
7. 現在の日付が 1 月から 8 月までの 16 日から月の終わりまでの日である場合、または現在の月が 9 月から 12 月までの月である場合には、ワームは Windows Update でサービス拒否攻撃 (DoS) の実行を試みます。しかし、このサービス拒否攻撃 (DoS) が成功するのは、次のいずれかの条件に該当する場合のみとなります。
   • ワームが、感染していたかまたはペイロード期間中に再起動されたかのいずれかの Windows XP コンピューター上で実行された場合
   • ワームが、ペイロード期間中に感染しかつ感染してから再起動されていない Windows 2000 コンピューター上で実行された場合
   • ワームが、感染してからペイロード期間中に再起動されており、現在ログインしているユーザーが管理者である Windows 2000 コンピューター上で実行された場合
     
     
8. このサービス拒否攻撃 (DoS) のトラフィックには、次の特徴があります。
   
   • windowsupdate.com のポート 80 での SYN フラッドである。
   • 1 秒ごとに 50 HTTP パケットの送信を試みる。
   • 各パケット長は 40 バイトである。
   • ワームが、windowsupdate.com の DNS エントリを見付けられなかった場合は、宛先アドレス 255.255.255.255 を使用する。
     

変更された TCP および IP ヘッダーの特徴のうちいくつかは次のとおりです。
• IP identification = 256
• Time to Live = 128
• ソース IP アドレス = a.b.x.y ここで、a.b はホスト ip からのものであり、x.y はランダム。場合によっては、a.b がランダム。
• 宛先 IP アドレス = "windowsupdate.com" の dns レゾリューション
• TCP ソースポートが 1000 から 1999 までの間
• TCP 宛先ポート = 80
• TCP シーケンスナンバーが常に、0 へ設定された 2 つの低バイトと、ランダムな 2 つの高バイトを保持している。
• TCP Window サイズ = 16384
  

このワームには次のテキストが含まれており、これは決して表示されません。