MS03-043 脆弱性スキャナーいろいろ
各社からメッセンジャ サービスの脆弱性スキャナーがリリースされている。
◆Retina Messenger Service Vulnerability Scanner
http://www.eeye.com/html/Research/Tools/MSGSVC.html
(eEye) 2003/10/17
◆MessengerScan v1.05
http://www.foundstone.com/resources/termsofuse.htm?file=messengerscan.zip
(Foundstone) 2003/10/17
◆MS03-043 Messenger Service Scanning Utility
http://www.iss.net/support/product_utilities/ms03-043/
(ISS) 2003/10/16
ポップアップメッセージを出さないようにするには、コマンドオプションに ping=true を指定しよう。
2003/10/19追記
Version 2 では、デフォルトがサイレントモードになった。
◆公開されたばかりの危険な脆弱性「MS03-043」をスキャンするツール
http://internet.watch.impress.co.jp/cda/news/2003/10/16/777.html
2003/10/16
Welchi(Welchia,Nachi,MSBLAST.D)感染マシンを探す
◆新種ワームはBlasterよりも悪質,気が付きにくい上にネットワークを“まひ”させる
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030820/2/
感染するために起動したバックドア(リモート・シェル)をそのままにする(Blasterの場合には,感染後終了させる)
だとすれば、
感染元コンピュータは69(UDP)ポートを使用してTFTPサーバを起動する。(MSBLAST.A,B,C,D)
感染先コンピュータ上で4444(TCP)ポートを使用したリモートシェルを起動する。(MSBLAST.A,B,C)
感染先コンピュータ上で707(TCP)ポートを使用したリモートシェルを起動する。(MSBLAST.D)
これらの特徴から
nmap -sS 192.168.1.* -p 707
とすれば、同一セグメント上にある感染マシンを探すことができるのだろうか。
8/27追記
Gaobot(Agobot)は、バックドアプログラムのダウンロード待ち受け用に22226(TCP)ポートを開く
MS03-026 パッチを装ったトロイの木馬
MS03-026 パッチを装ったバックドアトロイの木馬が出現した。
◆Sophos ウイルス解析: Troj/Graybird-A
http://www.sophos.co.jp/virusinfo/analyses/trojgraybirda.html
◆BackDoor-ARR
http://vil.nai.com/vil/content/v_100159.htm
◆Symantec Security Response - Backdoor.Graybird.E
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.graybird.e.html
◆ソフトウェアの配布に関するマイクロソフトの方針
http://www.microsoft.com/japan/technet/security/policy/swdist.asp
マイクロソフトが電子メールで直接ソフトウェアを配布することは一切ありません。
この事実を知っていれば騙される事は無いのだが。
MS謹製 MS03-026 Scanning Tool リリース
Microsoft から MS03-026 Scanning Tool がリリースされた。
◆826369 - KB 823980 Scanning Tool を使用して、セキュリティ修正プログラム 823980 (MS03-026) がインストールされていないホスト コンピュータを特定する方法
http://support.microsoft.com/default.aspx?scid=kb;ja;826369
◆Download details: MS03-026 Scanning Tool
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8F04C6C-B71B-4992-91F1-AAA785E709DA&displaylang=en
Blasterワームの駆除をしてみた。
Blaster ワームに一番感染し易い環境は、インターネットからTCPポート135番にアクセス可能な環境、つまり、モデムによるダイアルアップ接続や、ルータのパケットフィルタを介さないケーブルモデム接続である。その上で、MS03-026パッチを適用していない。なおかつ、ウィルス対策ソフトを導入していない、あるいは定義ファイルを更新していない状態であれば、ほぼ間違いなく感染することだろう。
◆Blasterウイルス対策マニュアル
http://bb.watch.impress.co.jp/cda/special/2385.html
PCがこのウイルスに感染してしまった場合に起きる現象は以下の通りだ。
・画面にエラーメッセージが表示され、Windowsが起動・再起動を繰り返してし
まう。
例:「問題が発生したためGeneric Host Process for Win32を終了します」
「Remote Procedure Call (RPC) サービスが異常終了しました」
これは未対策のマシンで起こる典型的な現象で、「再起動します。よろしいですか?はい いいえ」のダイアログでなく、問答無用でシャットダウンへのカウントダウンが始まる。
これは Blaster ワームから攻撃を受け、バッファオーバーフローが発生した結果、RPCが不安定になっている状態だ。これだけでは感染していると断定できないが、タスクマネージャーのプロセスリストに msblast.exe が存在していれば、そのマシンは感染しているということになる。
・msblast.exeというプロセスが起動し、終了することができない。
これは間違いだろう。感染しているマシンで、タスクマネージャーからプロセスの終了は行なえた。
復旧手順はマイクロソフトのページが分かり易い。
Windows XP であれば、下記の絵入りページが該当する。
◆Blaster ワームへの対策 - Windows XP 編
http://www.microsoft.com/japan/technet/security/virus/blasterE_xp.asp
脆弱な状態では頻繁に再起動されてしまい、以後の対策が行なえないため、まずはブロックすることから始める。
1.ネットワークケーブルを抜きます。
2.インターネット接続ファイアウォールを有効にします。
3.分散 COM (DCOM) を無効にします。
4.感染していたら msblast.exe プログラムを停止します。
5.ネットワークケーブルを接続します。
6.MS03-026を適用します。
7.ワームを駆除します。
7-1.次のレジストリキーを削除します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"windows auto update"="msblast.exe"
7-2.msblast.exe を削除します。
>del -f %windir%\system32\msblast.exe
8.今後の予防措置として tftp.exe をリネームします。
tftp.exe は ユーザーログインや認証がない TFTPクライアントで、ウィルスやワームが利用する他は、ルータのファームウェアのアップデート等、使用するケースは限定的だ。
>move %windir%\system32\tftp.exe %windir%\system32\tftp.ex_
インターネット接続ファイアウォールでログを有効にすると、DROPしたパケットの記録が残る。(デフォルトでは、%windir%\pfirewall.log)
────────────────────────────────────
#Verson: 1.0
#Software: Microsoft Internet Connection Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info
#Verson: 1.0
#Software: Microsoft Internet Connection Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info
2003-08-14 21:32:26 DROP TCP 219.XXX.125.189 172.XX.198.139 2986 135 48 S 2300180429 3747215650 16384 - - -
2003-08-14 21:32:29 DROP TCP 219.XXX.125.189 172.XX.198.139 2986 135 48 S 2300180429 3747215650 16384 - - -
2003-08-14 21:32:35 DROP TCP 219.XXX.125.189 172.XX.198.139 2986 135 48 S 2300180429 3747215650 16384 - - -
2003-08-14 21:36:17 DROP TCP 172.XX.124.113 172.XX.198.139 2096 135 48 S 2539532854 0 14520 - - -
2003-08-14 21:37:18 DROP TCP 172.XX.198.175 172.XX.198.139 3919 135 48 S 2174004160 0 16384 - - -
2003-08-14 21:38:58 DROP TCP 219.XXX.128.2 172.XX.198.139 4860 135 48 S 920147467 4184160502 16384 - - -
2003-08-14 21:39:01 DROP TCP 219.XXX.128.2 172.XX.198.139 4860 135 48 S 920147467 4184160502 16384 - - -
2003-08-14 21:39:07 DROP TCP 219.XXX.128.2 172.XX.198.139 4860 135 48 S 920147467 4184160502 16384 - - -
2003-08-14 21:41:31 DROP TCP 219.XXX.59.59 172.XX.198.139 4377 135 48 S 3755720433 4179759142 16384 - - -
2003-08-14 21:41:34 DROP TCP 219.XXX.59.59 172.XX.198.139 4377 135 48 S 3755720433 4179759142 16384 - - -
2003-08-14 21:41:41 DROP TCP 219.XXX.59.59 172.XX.198.139 4377 135 48 S 3755720433 4179759142 16384 - - -
────────────────────────────────────
W32.Blaster.Worm 攻撃シナリオ分析結果
感染システムは、8月16日から windowsupdate.com に対して40 バイトパケットを20ミリ秒の間隔でポート80に送信し、DDoS攻撃を行うということですが、下記のサイトでそれを分析した結果が出ています。
◆W32.Blaster.Worm 攻撃シナリオ分析結果
http://www.certcc-kr.jp/announce/Blaster-3.html