JavaScript系ウイルス - ホームページ改変技!(誕生日は不明です)
インターネットウイルスという区分で、かなり以前から存在していたようです。
現在流行しているのは、ホームページ(Webサイト)をIEで見ただけでホームページ(ブラウザを起動した時に最初に表示されるページ)を改変するもの。
ホームページという用語、とっても紛らわしいですね。HPだとユーレッドパッカード?
Trojan.JS.Offensive (Symantec)(プライスロトで使われました)
JS_EXCEPTION.GEN (TrendMicro)
Autostart - FDを入れただけで感染(1998年)
Macに感染するブートレコード感染型ウイルス。感染したパソコンでフォーマットしたFDをFDドライブに入れたとたんに、Quick
timeのオートプレイ機能で勝手に感染してしまうそうです。
真偽のほどはわかりません、でも「このウイルスに対応できなかったアンチウイルスソフトメーカーが次々と撤退した」という噂。
平成10年版防衛白書と犯罪白書のハイブリッドCD-ROMに感染していたという事件もありました。記事が削除されているので、web.archive.orgのページをどうぞ。
Chernobyl - 原発なみの破壊力?(1998年6月下旬)
台湾のChen Ing-Hauが作成。
HDのブートセクタを破壊。インテル社の430TXならBIOSも破壊します。HDのデータを全て上書き。強烈です。
このウイルスは不正コピーソフト市場に流れたため、中国・韓国・そしてなぜかトルコで大流行しました。
名前の由来は、チェルノブイリ原発事故が起きた4月26日に活動するようセットされていたからです。
HAPPY99 - すてきな花火をありがとう♪(1999年1月1日)
添付ファイルをダブルクリックすると、花火が表示されるウイルスです。「新年おめでとう」?
先日試してみました。でも「これだけ?もう終わり?」。
フラッシュを見慣れているひとは、ちょっと物足りない気分になるかも。
Melissa - 話題のマクロ (1999年3月上旬)
David L. Smith(当時30才)作成。ニュースグループに有料アダルトサイトのパスワード集とのふれこみで投稿されたWordのファイルから事件は起きました。
それまでは電子メールがウイルス拡散にどれだけの役割を果たすのか重要視されていませんでした。そのような甘い見解を一変させたウイルスです。
作者のひとは何か心境の変化があったみたいです。
Melissa作者、ウイルス作者摘発でFBIに協力 (リンク切れ)
Bubble Boy - 世界初のダイレクトアクション機能 (1999年11月初旬)
メールを開いただけで感染するメールとしては世界初です。
添付ファイルが無く、メール本文のVBScriptだけで感染する点も興味深いです。
ウイルス作者たちのグループである29AのZulu製とのことです。作者本人がアンチウイルスソフトメーカーに送っていたようです。このようにウイルス作者が新技術に挑戦する目的のためだけに作成したようなウイルスを、コンセプトウイルスと呼びます。
I LOVE YOU - 誰かがあなたを愛してる♪ (2000年5月上旬)
フィリピンのAMAコンピューター単科大学のOnel A. De Guzmanという学生が作成。
発生からわずか5時間で世界中に広まったのは(当時は新記録)、その件名が原因?
フィリピンの法律では罪状が付けられずにあっけなく釈放。そしてなぜかヘッドハンティングの注目の的。
雇ってどうするつもり?
Liberty - こんなものにも感染するの?(2000年8月下旬)
「Parmの携帯端末に感染する世界最初のウイルス」です、でも詳細情報がわかりません。
MTX - SymantecのWebサイトが落ちた?(2000年9月上旬)
ハッキングツールをインストールさせる目的で作成されたようです。クライアントプログラムが配布されています。
添付ファイル名が31種類あり、日替わりなのが興味を引きます。
このウイルスの一番の特徴?は、[アンチウイルスソフトメーカーのWebサイトに接続できなくなる]点ですね。誰かに紹介してもらったアドレスにつながらず、「ひどいよう、嘘アド教えるなんて・・・」状態になります。
そのためアンチウイルスソフトメーカー各社は駆除ツールのダウンロード用に、ミラーサイトを作っています。
Hybris - 白雪姫からのメール (2000年9月下旬)
件名は「Snowhite and the Seven Dwarfs- The REAL story! (白雪姫と七人の小人の真実の話)」。
画面に白黒の渦巻き模様ができることで有名かも。感染すると某所からプラグインをダウンロードし、この症状が発症します(今はダウンロード先が閉鎖したので、この症状は出ないようです)。
あまり知られていない症状ですけど、BIOSも破壊するようです。。
Hybris.Bは、添付ファイルの名前が[アルファベット8文字.exe]で、アルファベットの最初の2文字と最後の2文字が同じことでもよく知られているでしょう。
ワコール社のメルマガで6500人に配布されるという事件がありました(ワコールが「HYBRIS」混入メールをユーザー6500人に送信,数百人が感染か)。
Anna Kournikova - 美しい刺客 (2001年2月上旬)
OnTheFlyことヤン・デ・ビットという当時20才のオランダ人が、VBSWGで作成。ツールそのものはKalamarというハッカーが作成したもの。どこの国にも、こようなのツール好きなひとがいるのでしょう。
本文:Hi: Check This! 添付ファイル名:"AnnaKournikova.jpg.vbs"。
アンナ・クルニコワはウインブルドンでマルチナ・ヒンギスと準決勝で史上最年少16才対決をやった、テニスプレーヤー。美人です。
CodeRed - Webサーバーが次々と感染 (2001年7月中旬)
中国人がホワイトハウスのHPにDDOS攻撃を仕掛ける目的で作成。一方ホワイトハウスはIPアドレスを変えて、攻撃を回避しました。
Windows NTや2000のIISサーバーのセキュリティホールを突き、グローバルIPアドレスを割り当てられているといきなりどこかの無関係のサーバーから攻撃され、感染します。
攻撃されたサーバーには、以下のログが残ります。
: nn.nnn.nn.nn - - [18/Oct/2001:22:41:33 +0800] "GET/default.ida?NNN(Nがたくさん・・・)NNNNNN%u(%と数字)00=a
広東省の佛山大学にて作成されたと、米国会計検査院は発表しています(リンク)。
Peachy - PDFは安全じゃないの?(2001年8月上旬)
このウイルスの完全な動作には、Adobe社のAcrobat ver.5が必要です。
PDFファイルは今世界で広く利用されているファイル形式。このファイルを作成するためにはAcrobatというソフトが必要です(Acrobat
ReaderはPDFファイルを閲覧するだけのソフトです)。
Acrobat ver.4以降、PDFファイルに他のファイルを埋め込めるようになりました。このウイルスはPDFファイルに埋め込まれたVBScriptにより動作します。
このウイルスの作者は、Zuleという有名人です。
CodeRed II (2001年8月上旬)
米国人がCodeRedの報復のために作成。名称はCodeRedUの方が知名度は高い?
攻撃されたサーバーには、以下のログが残ります。
GET/default.ida?XXXXXXXXX(Xがたくさん・・・)X%u(%と数字)%u00=a
この数がやたらと多くて。1分間に100回同じサーバーから届いたり。
感染させる対象は完全なランダムではなく、感染サーバーのIPアドレスに近いIPアドレスを重点的に狙います。そのため同じプロバイダー利用者から、または同じ企業や大学からより積極的に攻撃されます(内部からプライベートIPアドレス狙いで攻撃した例もあるようです)。
感染活動のスレッド数は中国語環境では多く設定されいたため、中国の感染数はとっても多かったです。
でも本当の問題点は別。違法コピーが正規購入版を遥かに上回っている中国・韓国では、皆さんWindows
Updateなどを利用しづらかったのでしょうか。
被害は長期にわたって続きましたけど、後に登場したNimdaにその座を譲りました。
バックドアのroot.exeを感染サーバーに残すため、外から簡単に・・・
例) 相手のサーバーのFDドライブがいきなり音を立てます。/Scripts/root.exe?/c+dir+"a:\"
Nimda - 最近ログが少なくなり、寂しいです(2001年9月中旬)
SirCamのメール経由ダイレクトアクション活動とCodeRedのIIS攻撃機能を組み合わせたもの。LANを伝ってネットワーク感染もします。何でもありですね。
サーバーには以下のログが残ります。
こんな記事がありました。
韓国語版のVS .NETにNimdaウイルス混入
MS、誤ってウイルス入り開発ツールをリリース
Whiter - ファイル交換サービスの代償 (2001年9月下旬)
元々はWindows XPのキージェネレーターとして配布されていたそうです。
発症するとHDの全てのファイルが細かく刻まれ、復旧できなくなります。発症のタイミングはexeファイルをダブルクリックした直後であったり、数日後だったり。変種がたくさん配布されているので、そのあたりは様々なのでしょう。
某ファイル交換サービス利用者の間で、不正コピーしたソフトをインストールしたときに発症した例が多いようです。
Badtrans.B - ウイルスそのものよりも・・・(2001年11月中旬)
受信トレイの未読メール送信者のアドレスにウイルスがメールを送るとき、件名が[Re:]になるため、うかつにも油断してしまった人も多いかと思います。
このウイルスはキーストロークのログを採集し、パスワードなどをメールでどこかに送信します。そのため感染するとパスワードを第三者に知られる可能性があります。添付ファイルはhtmlメールの本文にデコードされずに入っていて、メールを開くとインラインフレームタグでファイルを開かせるつもりのようです。
あるアンチウイルスソフトでメール保護機能を有効にし、発見時の対処を[自動的に削除]に設定している場合。ウイルスメールを受信して自動的駆除の後に、以降のメールの受信ができなくなることがあります。
SirCam - ウイルスはどこ? (2001年7月上旬)
ダイレクトアクション機能を備えたウイルスで、かなりの被害が出ました。
情報を収集していた私が当時とっても気になっていたことです。SirCamはLAN上にてネットワーク経由感染します。でも当時、アンチウイルスソフトメーカーやIPAのWebサイトには、そのような情報は掲載されていませんでした。
「メールの送受信をしていないのに感染した(泣」なんて相談もよくありました。
ゴミ箱にウイルス本体を作成する点も、意表を突くものでした。
SirCamが送信するメールには、お土産がついてきます。[報告書.doc.exe]というファイルをバイナリエディタで開いて、ウイルスのコードを削除すると・・・
HIKARU - 怖い画像は嫌いです (2001年12月)
杏仁氏作成のジョークソフトを改変したもの。
実行するといきなり、画面に怖い女の人の顔が表示されます。アンインストールの方法もわからず(その点でかなり悪質なジョークソフトです)。
TrendMicro社がこのジョークソフトに[TROJ_MADO.A]という名称をつけたことから、事態が一変。[TROJ]はトロイや悪質ソフトの意味です。作者はこのソフトをVectorでも配布していたけど、VectorはすぐこのソフトをWebサイトから消しました(これが混乱をさらに大きくしたのですけど)。その後TrendMicro社は[TROJ_MADO.A]を[JOKE_MADO.A]という名称に変更し、トロイではなく単なるジョークソフトだとアナウンスしました。
さらにTrendMicro社は類似のソフトHIKARUをブートレコード感染型ウイルスだと発表しました。
実は似たような症状のため情報が錯綜し、HIKARUとMADOKAどちらがどっちで、どのようなウイルスなのか区別できませんでした。でも私が当時作者のWebサイトから当時ダウンロードしたHIKARUは警告無し、MADOKAはJOKE_MADO.Aと検出されました。
おそらくこのWebサイトからHIKARUをダウンロードして、ウイルスを入れた第三者がいたのだろうという話で、落ちがつきました。現在でも杏仁的第二個家という作者のサイトは存続しています。
SWF/LFM-926(Sophos) - こんなファイルにも感染するの?(2002年1月上旬)
SWFファイルはMacromedia社のFlash Movieで使われるファイルです。
このようなデータファイルをウイルスが利用するなんて、想像もつきませんでした。
ソフォス、Macromedia Flash ウイルス第1号を発見
MYPARTY -パーティ 会場はYahoo?(2002年1月下旬)
添付ファイルにURLを装った名称(www.myparty.yahoo.com)を使う新ウイルスとして紹介されてます(添付ファイルにURLを使う新ウイルス「W32/MYPARTY」)。
comの拡張子は実行ファイル形式なのに。人の[ついうっかり]を利用した、ありがちなトリック?
Delalot・ADOY - いまさら警告されても困ります(2002年2月)
動作はWhiterとほとんど同じですけど、その他のウイルス(KLEZ?)のコードが混入しています。ポリモエンジンで処理されているらしく、アンチウイルスソフトでの検出は当初難しかったようです。
でも対処が遅れた一番の原因は、被害者がアンチウイルスソフトメーカーに通報できなかったから?
次のメッセージを表示します。[PIRACY IS ILLEGAL(著作権侵害は違法です)]
Sharpei - C#で書かれた初のウイルス? (2002年3月上旬)
作者が女性(Handle nameはGigabyte)なので話題に。でも「男尊女卑反対の目的をアピールしたかった」なんて捏造記事が複数配信されたことに対して、本人が「そんなこと言った覚えがないんだけど」、なんてコメント。
チェコ人が作成したDonutがC#の最初のウイルスのはず。でもこのSharpeiが世界初として扱われています。
2004/2/16 Gygabyteさんは逮捕されたみたいです。
ソフォス、ベルギーで逮捕された女性ウイルス作成者、Gigabyte についてコメント
Fbound - デフォルトの件名が日本語になる初のウイルス (2002年3月中旬)
本文は空白、添付ファイルはPatch.exeです。
このウイルスの特徴は宛先のアドレスがjpドメインだと、件名が日本語になることです。
件名[重要, Re:重要, 重要なお知らせ, Re:重要なお知らせ, 例の件, Re:例の件,
お久しぶりです, Re:お久しぶりです, こんにちは, Re:こんにちは, 極秘, Re:極秘,
資料, Re:資料, 蛙, ウャR, うんこ]
あまりにもありがちなので、気付かずにメールを開いてしまいそう。
極秘なんて件名、気になりますよね?
VBS_NOCLOSE(TrendMicro) - 強制表示の罠 (2002年4月?)
VBSが記述されたファイルです。私が入手したVBS_NOCLOSE.Aはhta形式でした。でも多分htmやhtml形式のファイルで配布されるケースが多いでしょう。
発見日が2002年5月23日なのに、対応日が2002年4月23日という記載は、誤植?
似たような名称のものとして、JS_NOCLOSEなどがあります。でも関連はわかりません。
Norton Anti-Virusでは検出できませんでした。ちなみにAntidoteではTrojan.VBS.Closeです。
症状はシンプル。ある一定の時間ごとに特定のサイトを強制的に表示させるものです。レジストリへのキー作成は観察されませんでした。
挙動はありきたりでも、配布の手法が独特なので記載しておきます。
Redlof - ホームページを見ただけで感染 (2002年4月発見 2002年10-12月 国内で流行中)
このウイルスが利用している「Microsoft VMによるActiveXコンポーネントの制御 (MS00-075)」は、OffensiveやExceptionの頃の古いセキュリティホールです。JavaVMのバージョンが3317までなら、影響を受けます。
さきほど感染サイトを閲覧しました。でもJAVA VMのバージョンが高いなら、Internet
Explorerのセキュリティ設定が[最悪]レベルであったとしても感染しません(当然です)。
VBSは単体のファイルとしてのみではなく、html/htmlファイルにJavaScriptのように書き込むことができます。このとき、Internet
Explorerの設定でActive Xコントローラーを無効にしていれば、このVBSには感染しません。
htmlファイルにVBSを書き込んで利用できるとは、知らなかったひとも多いようです。
「WSH(Windows Scripting Host) を停止させれば感染しない」という迷信をあちらこちらで見かけます。でもhtml/htmに書かれたVBSはWSHではなくInternet
Explorerがサポートします。WSHは拡張子がVBSのファイルなどを動作させるためものですから、WSHを無効化させてもWEBやメール経由感染を防ぐことはできません(変種が出たときに、パソコンの被害拡大を防ぐ効果はあるかも)。
感染対象ファイルは[VBS, HTML, HTM, ASP, PHP, JSP, HTT]ファイルです。
感染経路のひとつはhtml形式のメールです(OutlookやOutlook Expressのセキュリティ設定が適切なら、感染しません)。
このウイルスはOutlookもしくはOutlook Expressの雛型ファイルとしてblank.htmという感染ファイルを作成し、これを利用させるように設定します。ですからあなたが気付かないうちに、感染しているメールを送信してしまいます。
ここまで被害が拡大した経路はメールではなく、ウイルスのコードのvbsが書き込まれているhtmもしくはhtmファイルを、ブラウザで閲覧しただけで感染するという手法です(Internet
Explorerの設定が手付かずであるなら、です)。
2002年秋、有名なお絵かき掲示板やその他の有名サイトの作者のパソコンが感染しました。
感染したパソコンで作成したhtml/htmファイルは全て汚染されてしまいます。そのファイルをそのままアップロードすると、閲覧しただけでウイルスに感染するサイトができあがりです♪
感染後にfolder.httファイルとdesktop.iniファイルがあちらこちらのフォルダに作成され、デスクトップの表示が真っ白になったりします。folder.httとdesktop.iniファイルは表示されないように設定されているので、こちらから全てのファイルが表示されるように設定しなおしてください。
関連情報
「VBS_REDLOF.A」駆除後、エクスプローラのWeb表示の際にエラーメッセージが表示される
「Windowsのシステムファイルである"folder.htt"にウイルスが感染したことによるエラー表示です。このファイルはエクスプローラのWeb表示を行う際のテンプレートです。」とのことです。でもアンチウイルスソフトでついでに対処してくれればいいのに、なんて切に思います。駆除しきれずにリカバリーするひとをたくさん見かけたのです。
Delall.F (TrendMicro) - アイコンだけで信用するなんて (2002年6月下旬)
HD内部のファイルを全て破壊するだけです。
マンキン.exeのアイコンがGCAの自己解凍書庫のアイコンだったため、油断した人も多かったのでしょう。
JDBGMGR.EXEという名称でも配布されたので、当時流行していた同名のファイルに関するデマウイルス(もともとパソコンに存在するファイルを駆除するように薦めるデマメール)だと勘違いする人もいたのかもしれません。
Frethem - 定義ファイル待ちがつらかったです。 (2002年7月15日)
ある日突然多数の変種が現れ、そのためファイルサイズや挙動が報告する人ごとに異なりました。そのため数日間の間混乱が続きました。
でも定義ファイルが一通りできると、あっという間に消失。
一度に複数の変種をばらまくというテクニックは、大流行させるには有効なものなのかもしれません。
日付を見てみましょう。
下記の検出名と発見日はMcAFEEのウイルス名検索より得ました。日本国内で爆発的に(数日間のみです)流行したのは、ver.k以降です。
| W32/Frethem.f@MM | 2002/6/7 |
| W32/Frethem.k@MM | 2002/7/12 |
| W32/Frethem.l@MM | 2002/7/15 |
| W32/Frethem.m@MM | 2002/7/15 |
| W32/Frethem.n@MM | 2002/7/15 |
| W32/Frethem.o@MM | 2002/7/15 |
| W32/Frethem.p | 2002/7/25 |
| W32/Frethem.q | 2002/7/25 |
| W32/Frethem.r | 2002/7/26 |
件名が「Re:Your password!」というのも困ります。主な機能は、特定のサイトを強制的に閲覧させるというものです。
このウイルスのメールを会員全員に流したCATV会社もありました。
Bugbare - 呪いのプリンター? (2002年9月下旬)
メール経由感染で広まり、感染後にLAN内の共有ファイルをクラックしてネットワーク感染します。
また共有ファイルとプリンターを[誤認識]するためなのでしょうか?ネットワークプリンターが狂ったような勢いで、意味不明の文面をひたすらプリントアウトし続けます。
ネットワーク間の感染経路は、メールによるものです。
キーロガ−としても機能します。
Opaserv - Port 137の嵐 (2002年9月下旬)
Windowsの共有ファイルをクラックして感染するウイルスは、これがは初めてではないのですけど。SirCamやBugbareは異なるネットワークの共有ファイルには感染できません。でもこのOpaservというウイルスはネットワークの外から直接共有ファイルをクラックして広まるウイルスです。
このウイルスの感染活動は一見Windowsのブラウジング(NetBIOS名の解決のための手段)に似ています。パーソナルファイアーウォールやルーターのログを見ると、udp
port 137へのログの多さに驚くかもしれません。
もしOSが入っているドライブをそのままフルアクセス(書き込み可能)な共有にしていて、パスワードも設定していなかったなら。世界の果てのどこか遠くから、あなたのパソコンにウイルスが送り込まれてくるのです。
IPAやその他主要な団体や雑誌などでも、このウイルスとBugbareを混同している記述をよく見かけます(なぜ?)。
このウイルスはMS00-072の脆弱性を利用して、共有パスワードをクラックしようと試みます。
「共有レベルのアクセス制限パスワード」の脆弱性に対する対策
Lioten (Iraq oil) - Port445経由のパスワードクラック (2002年12月中旬)
米軍のイラク攻撃への抗議?
Liotenという名称の方が知名度が高いかもしれません。
このワームはOpasoftと同様に、ネットワークの外からやってきて感染します。
IPC$の匿名接続からパスワードをクラックするネットワークワームとしては、(私の記憶では)これが始めてのものです。Port445をクラックします。
感染する可能性があるパソコンは、Windows NT系OSです。
MS02-072関連 (2002年12月)
この脆弱性を利用したウイルスは、まだ見つけていません。
「MP3などのデータファイルなら安全」とは言い切れない例として、ここで紹介しておきます。
交換音楽ファイルに不正コードを埋め込む攻撃、『ウィンドウズXP』などに影響
JBells - そんな音楽、聞きたくない・・・ (2003年1月中旬)
ウイルスのコードをステガノグラフィー(わかりやすく解説すると、画像に埋め込みなど)で配布されたケースは今まで何度もありました。また画像ファイルの形式でウイルスの添付ファイルが配布される場合も。でもそのようなケースであっても、開いても感染しませんでした。
JBellはゴブルズ・セキュリティーというチームが作成しました。コンセプトウイルスです。
Linuxで利用されるMP3再生ツールのmpg123 ver.pre0.59が対象です。
このウイルスはUNIXをターゲットにしたものです。
データファイルのみで感染活動を行なう初めてのウイルスとして扱われています(PeachyとSWF/LFM-926は?)
Lovgate - 恋の予感? (2003年5月中旬)
Symantec社製品でW32.HLLW.Lovgate.H@mmもしくはW32.HLLW.Lovgate.I@mmとして検出される亜種の頃から、悪質さが増しています。
感染経路はメールとネットワーク感染です。LAN内部のパソコンにパスワードクラックして、共有ファイルに感染します。
TCPのポート1092、10168、20168、6000を利用してバックドアをセットします。
LSASS.EXEというファイル名も嫌です(このファイル名はWindowsが利用しているファイル名と同じです)。
最近の流行として、アンチウイルスソフトやパーソナルファイアーウォールを停止させます。
Sobig - スパム送信補助ツール (2003年5月のSobig.b以降、変種が複数登場)
感染者のパソコンを外部から利用可能なメールサーバーに仕立てて、スパム業者が利用する可能性が指摘されています。
ウイルス作成が「ビジネス」になる……?
感染広げるSobig.Eウイルス、犯人はスパム業者か
Backdoor.IRC.Cirebot - Windows 2000/XPの終焉? (2003年8月上旬)
MS03-026がMicrosoftから発表されてまもなく、このウイルスは誕生しました。
パソコンをインターネットに接続しているだけでも危険です。
感染後、Port 57005経由でリモート操作が行なわれる可能性があります。またPort
69を利用して、FTPサーバーにさせられてしまいます。
でも危機的な状況を想像していたのに、感染台数は極めて少ないものでした。
Windows RPCの脆弱性を悪用したトロイの木馬が出現
W32.Blaster.Worm - Windows Updateに接続している間に感染 (2003年8月中旬)
Backdoor.IRC.Cirebotと同じく、MS03-072の脆弱性をアタックするワームです。とってもアタック数が多く、パソコンをインターネットに接続しているだけであっという間に感染してしまいます。ワームの感染活動はTCP
135のPortで行なわれます。
そのためダイヤルアップユーザーのひとは、パーソナルファイアーウォールを導入して正しく設定していない環境なら、Windows
Updateやアンチウイルスソフトの定義ファイルアップデートをするための短時間の接続でも感染してしまうかもしれません。
Microsoftの初期のコンテンツでは、XPのパーソナルファイアーウォール(ICF)を利用してパッチを導入する内容でした。でもXPのパーソナルファイアーウォールはOSが起動した直後に無防備な時間帯が発生するため、公開されていた手順に従ったユーザーが新たに感染する可能性がありました。
現在Microsoftから公開されている情報ではOS起動後にネットワークに接続するため、そのような危険性はなくなっています。
Blaster ワームへの対策 - Windows XP 編
Blasterに関する情報
Windows Updateを利用せず、誰かきちんと対策しているひとのパソコンから上のリンク、もしくはマイクロソフト
サポート技術情報 - 823980(MS03-026) 824146(MS03-039にはMS03-026が含まれます)を閲覧して、ご利用しているOSのパッチをダウンロードしてください。それをフロッピーディスクに保存してから適用するのもいいでしょう。またリンク先のページからDCOMを一時的に停止する手もあります(でも問題が起きても、こちらでは責任は取りかねます・・・)。
(このリンク先では32Bit版と64Bit版があるので、戸惑うかもしれません。個人用のパソコンは32Bitでしょう。64Bit版Windowsを個人で使っているひとはいないと思います)。
ルーターでポートフィルタリングをしている環境でも、同じネットワーク上に感染しているパソコンがあるなら、アタックされて感染する可能性があります。
感染しているパソコンを起動してネットワークに接続しているとき。
[システムはシャットダウンされます。進行中の作業を全て保存し、ログオフしてください。保存されていない情報は失われます。シャットダウンは、NT
AUTHORITY\SYSTEMによって開始されました。]という警告と、[Remote Procedure
Call (RPC)サービスが異常終了したためWindowsを再起動する必要があります]というダイアログが出て、カウントダウンが始まる症状で、初めて感染していることに気付くかも。
Network Assosiates社のW32/Lovsan.worm.a (McAFEE)として公開されている情報では、その他にも様々なトラブルが発生する可能性について言及しています。
・カットアンドペーストができない
・アイコンの移動ができない
・アプリケーションの追加と削除のリストが空である
・マイクロソフトオフィスのほとんどのプログラムでダウンロードエラーが発生する
・マシンのスピードが遅くなる、レスポンスが悪くなる
このLovesanという名前の語源は、「I just want to say LOVE YOU SAN!」というメッセージのためです。
IPCからは「W32/MSBlaster」ワームに関する情報が公開されています。ここではアンチウイルスソフトメーカー各社が提供しているウイルス駆除ツールのリンクが紹介されています。
あとがき
サービスの設定からRemote Procedure Call (RPC)を無効にするように推奨している無責任なサイトがあるようです。
でも絶対に停止・無効にしないでください!
あなたのパソコンがウイルスに感染する前に、取り返しのつかない状態になるかもしれません。
もし感染したなら、Microsoftの修正プログラムを導入して、アンチウイルスソフトメーカーから提供されている駆除ツールを使ってください。
2003/10/3追記
トレンドマイクロ社がNACHIをMSBLAST.Dとして扱ったため、流行初期に多くの混乱が生じました。でもやっと名称が変更されたようです。
WORM_MSBLAST(エムエスブラスト)の検出名変更について
2003年11月3日追記
日本郵政公社で大量感染。
このような生活に密着したインフラが被害を被ると、事態の深刻さを思い知らされます。
2004年8月22日追記
MSBlast容疑者、犯行を認める
Blasterのオリジナルを作成したひとは、まだ逮捕されていません。
米国時間11日、昨年夏にインターネットに大混乱を引き起こしたMSBlastワームに関して、この攻撃に加担したとされるミネソタ州ミネアポリス在住の19才の男性が容疑を認めた。2004年2月3日追記
連邦検察官によると、容疑者のJeffrey Lee Parsonは「MSBlast.B」の作成を認めたという。これはオリジナルのMSBlastワームに修正を加え、感染したコンピュータをコントロールできるようにしてしまうバックドアを追加した、「teekids」とも呼ばれるMSBlastの亜種。
裁判所に昨年提出された資料によると、FBIの捜査官がBlasterワームによるトラフィックを追跡したところ、Parsonがネットで使う「teekids」というハンドルネームに似た名前のウェブサイトにたどり着いたという。このサイトには、ファイル共有ネットワークで拡散するよう設計されたものなど、各種ワームのソースコードがあったとされている。
Blasterワーム亜種作成の少年に実刑判決
Blasterワームの亜種を撒き散らし4万8000台以上のコンピュータ攻撃に使ったとして、10代の少年に対し1月28日、連邦判事が1年半の禁固刑を言い渡した。
ジェフリー・リー・パーソン被告(19)はシアトルの米連邦地裁に出廷。奉仕活動と賠償金の支払いも同時に言い渡され、刑の執行後は3年にわたって監視下に置かれる。
W32.HLLW.Gaobot.gen - 変種の数では新記録更新中 (2003年8月に急速に感染者が増加)
W32.HLLW.Gaobotが発生したのは2002年10月です。本格的に世界規模で感染するようになったのは、W32.HLLW.Gaobot.AAのころにDCOM RPC脆弱性(MS03-026)・Locator Serviceの脆弱性(MS03-001)・パスワードクラックを利用しはじめてからです、そしてWebDav
の脆弱性(MS03-007)をつかう変種も作成されました。
続出するウイルスの変種,“Z”の次は何?
一般的に,何番目に出現した変種であるかは,ウイルス名の末尾に付けたアルファベットで表す。例えば,オリジナルはNetsky.Aとなり,その後,Netsky.B,Netsky.C,・・・となる。4月末には,それぞれNetsky.ZやBagle.Zとなった。
では「Z」の次は何か。ご存じの方も多いだろうが,「AA」である。アルファベット2文字で表すのである。この後,AB,AC,AD,…と続いていく。AZまでいったら,今度はBAである。今後,NetskyやBagleの変種がどれだけ出現するのかは分からない。しかし,2つのアルファベットで表す変種は珍しくはない。百種類以上の変種が存在するウイルスはいくつもある。
4月27日時点で,「Agobot(GaobotあるいはPhatbot)」は“RO”まで出現しているという(同社のページ)。つまり,480種類を超える変種が出現している。
名前がよくわかりませんか?
亜種・変種につけられるアルファベットは、A-ZのつぎはAA-AZ、そしてBA-BZの順番になります。
ウィルス名の命名規則について教えてください。
ウイルス ファミリ内の亜種の名前は、ファミリ名とサフィックス (例:.A) で構成されています。サフィックスの指定はアルファベット順で .Z に達するまで続きます。その後、再び .AA で開始し、.AZ に到達するまで続きます。それ以降の亜種はサフィックス .BA から .BZ まで、そしてサフィックス指定が .ZZ に到達するまで続きます。その後、別の亜種が発見された場合には、.AAA というサフィックスが付きます。
犯人のひとは2004/5/7に逮捕されました。Microsoftの懸賞金効果みたいです。
Agobot作成容疑者もドイツで逮捕される
トロイの木馬「Agobot」作成の容疑者逮捕
危険度の高いトロイの木馬プログラム「Agobot」と「Phatbot」を作成したとして、ドイツの警察が21歳の男を逮捕した。
ドイツ南部のヴァルツフートで男が逮捕されたのは5月7日。ドイツ、英国、米国のコンピュータに攻撃を仕掛けた疑いが持たれている。このトロイの木馬プログラムに関連してほかにも男5人が逮捕されたが、警察広報のホルスト・ハウク氏によれば、Sasserワーム作成の容疑で18歳の少年が逮捕されたこととは無関係だという。
ハウク氏によると、Phatbot作者は“独学の”ハッカーで、米連邦捜査局(FBI)からの情報に基づき逮捕に至った。警察が自宅を家宅捜索、コンピュータのハードとソフト、文書を押収したという。
Agobotは、Windows搭載マシンで密かに実行されるトロイの木馬。感染したコンピュータはユーザーに気付かれないまま外部からアクセスできるようになる。2002年10月の登場以来、Gaobot、Phatbot、Polybotなどと呼ばれる亜種も含めて数百種類のバージョンが検出されている。
Agobotの感染者のひとのパソコンは、Botnetに取り込まれます。このBontenをつかってサイト攻撃をする例があるみたいです
“賃貸ウイルス”の時代がやってきた (3/3)
告訴状によれば、ウォーカー容疑者は後に、当局に対し、「Agobot」という名のボットウイルスに感染したコンピュータを使ったと自白している。このボットの作者はアクセル・ゲンベという22歳の失業者で、自分のニックネームにちなんでウイルスを「Ago」と名付けた。ゲンベ容疑者はスイスとドイツの国境近くに住む、平凡な経歴の独学ハッカーだ。
Swen.A - Microsoftからのhtmlメール? (2003年9月中旬)
html形式のメールで送られてきますけど、あまりにも本当にありそうな見事?なメールなので、だまされたひとが多かったみたいです。
これなら誰もが油断してしまうかもしれません(スウェン(WORM_SWEN.A)が送るメールの例)。
レトロウイルスとしての機能で、アンチウイルスソフトの動作を妨害します。
このとき、「Memory access violation in module kernel32 at 5221:76945211」というエラーダイアログを表示します。