Broadband Watch logo
最新ニュース
爆発的流行の兆し? Blasterウイルス対策マニュアル

爆発的な感染拡大の兆しが見える「W32.Blaster.Worm」

 Windows 2000およびXPを対象にした、Blasterと呼ばれるワーム型ウイルス(以下Blaster、注参照)が流行している。このウイルスはSlammerなどと同様、ネットワークに接続しているだけで、こちらからアクションを起こさずとも、Windows上で動作しているサービスの弱点をついてPCに感染するタイプのもので、「いつの間にか感染している」場合が多く、注意と対策が必要だ。

編集部注:このウイルスの各社名称は、W32.Blaster.Worm(シマンテック)、WORM_MSBLAST.A(トレンドマイクロ)、W32/Lovsan.worm (McAfee)、Lovsan(F-Secure)、W32/Blaster-A(ソフォス)、W32/Blaster (Panda)、Win32.Poza(CA)


 特にインターネットに常時接続している個人ユーザーではゲームやメッセンジャ-ソフト、P2Pソフトのためにルータの全ポートを特定のPCに空けてしまっている、という場合があるが、このような接続をしている場合、感染リスクが高い。

 後述するようにBlasterウイルスの場合、LAN上に1台でも既に感染したPCがあると、そのLAN内では感染リスクが非常に大きくなるので注意が必要だ。

 また、パーソナルファイアウォールソフトをインストールしていないモバイルPCではPHSを使ったモバイル通信、公衆無線LANにも注意したい。同じネットワーク上に既に感染した他のPCがいる可能性が高いからだ。

 無線LANを利用している場合、ANY接続でどのネットにも簡単に接続できるようにしていると、いつの間にか感染したPCのいるネットワークに接続してしまい、感染していたなどというケースも考えられる。

 PCがこのウイルスに感染してしまった場合に起きる現象は以下の通りだ。

  • 画面にエラーメッセージが表示され、Windowsが起動・再起動を繰り返してしまう。
     例:「問題が発生したためGeneric Host Process for Win32を終了します」
       「Remote Procedure Call (RPC) サービスが異常終了しました」

  • msblast.exeというプロセスが起動し、終了することができない。

 また、Blasterには8月16日以降に起動するとマイクロソフトのWindows Updateサーバー(http://windowsupdate.microsoft.com/)へのDoS(サービス拒否)攻撃を行なうロジックが組み込まれている。その動作により、このサーバーに限らず16日以降、(他のワームが行なったのと同様に)ネットワークの過負荷による障害が起きる可能性がある。

 このウイルスは、「Windows RPC」に関するセキュリティホールを利用しているのが特徴だが、このセキュリティホールは比較的発見が最近で、7月17日にWindows用パッチプログラムが提供されてから1カ月弱しか経っていないためか、感染するPCが多く、爆発的に被害が大きくなる兆しを見せているようだ。


ウイルスの動作原理

 Blasterウイルスは、2000/XPの「RPC インターフェイスのバッファ オーバーランによりコードが実行される」セキュリティホールを利用しており、以下のような場合にウイルスを対象PCに感染させることができる。

  • 他の感染したPCから、ネットワーク越しに感染させたいPCのポート(ポート135、4444、69)が開いている

  • セキュリティホールの開いたRPCサービスが感染させたいPC上で起動している

 Windows RPCのサービスはWindows 2000/XPの場合、初期設定でデフォルトで起動するようになっており、多くのマシンで特に設定の変更をせずに動いている可能性が高い。

 RPCとは、Remote Procedure Callの略で、ネットワークを使ってデータを送ることで、遠隔地にあるPCにネットワーク越しのプログラムを実行させることができる仕組みだ。RPCでのリモート操作は通常は特に許可された権限、操作でしか利用することはできない。

 しかし、このサービスプログラムには文字列操作バッファの管理に問題があり、ある一定の長さを超えて、バッファがあふれるようなデータを送りつけると、あふれたデータをプログラムとみなして実行してしまうという障害があり、これを利用することでシステム管理者モードで悪意ある任意のプログラムを実行することができてしまう。

 最近このセキュリティホールによるシステムのクラックができることを検証するためのプログラムがインターネット上に公開されたのだが、Blasterウイルスの感染ロジックはほぼそのまま、これをコピーして使っているようで、感染原理は全くこの検証プログラムの通りになっているようだ。このため、検証プログラムを応用した亜種ウイルスが今後続々登場する可能性も指摘されている。

 このセキュリティホールに対するマイクロソフトの対策プログラムは7月17日に公開されているが、リリースされてからまだ1カ月弱と余り日が経っていないためか、Windows Updateでパッチを当てていないPCが数多く存在し、これが今回Blasterウイルスが急速に広がっている原因の1つになっていると思われる。

 前述の検証プログラムでは単純にコマンドプロンプトが起動されるだけだが、ウイルスプログラムでは、感染先のPCにTCPポート4444を窓口に利用してリモートシェル(利用した外部からのコマンドを受け付けるプログラム。いわゆるバックドア)を仕掛ける。

 その後、ウイルスはレジストリを書き換えて常にウイルスがWindows起動時にスタートアッププログラムとして起動するよう設定を変更、40%の確率で自分に近いネットワークに、60%の確率で全くランダムに接続先IPアドレスを作り出して、そこにアクセスを試みる。

 「40%の確率で近いネットワーク」のホストに接続するために、LAN内に1台でも感染PCがいると、他のPCにも感染させられる可能性が高い。また、ネットワークがこのとき飽和してしまい、ネットワーク内の通信がうまくいかなくなることがあるようだ。

 また、UDPポート69で接続を待機し、他のコンピュータからの要求があると、ウイルスを送る、いわばウイルスサーバとしてPC内で待機する。これの組み合わせによって、ウイルスプログラムがネットワーク上にはびこるように作られているわけだ。


ウイルスがPC中にいるかどうかを確認するには

 このウイルスプログラムの本体はMSBLAST.EXEというプログラムで、簡単な確認法には以下のような方法がある。

(1)タスクマネージャ、ファイル検索でMSBLAST.EXEがいないかを確認する。
 ウイルスが確認された場合には、後述する「対策方法」を参考に駆除するようにしてほしい。また、他にもレジストリエディタでレジストリ「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」に値「"windows auto update" = "MSBLAST.EXE"」が書かれているかを確認するという方法もある。

(2)アンチウイルスソフトでスキャンを行なう
 主要なウイルス対策ソフトベンダーのウイルス定義ファイルには、既にこのウイルスに対応したパターンファイルが登録されている。新しいウイルス定義ファイルを利用してアンチウイルスソフトを使ってスキャンするのは、確実なウイルスの見つけ方だ。主なアンチウイルスソフトでは以下のウイルス定義ファイルでBlasterに対応済みとなっている。


Blasterウイルスに感染したマシンでWindowsタスクマネージャを起動すると、プロセス一覧で「msblast.exe」プログラムが動いていることがわかる

Norton AntiVirus
(シマンテック)
ファイルバージョン: 50811s
シーケンス番号: 24254
拡張バージョン番号: 8/11/2003 rev. 19
ウイルスバスター
(トレンドマイクロ)
対応パターンファイル: 604
McAFEE Virus Scan
(日本ネットワークアソシエイツ)
定義ファイル 4284
F-Secureアンチウィルス
(F-Secure)
[FSAV_Database_Version]
Version=2003-08-12_01


ウイルス対策:予防方法

 ウイルスが動作するには、「セキュリティホールの存在するシステムが動いている」「システムのセキュリティホールそのもの」「ネットワーク越しにウイルスデータをやり取りするための経路」といったものが必要となる。

 どれかひとつでも対策すればウイルスに感染する可能性は激減するが、爆発的な感染がおさまるまではできるだけ多くの対策を併用すべきだ。

(1)このウイルスはWindows 2000/XPの「RPC インターフェイスのバッファ オーバーランによりコードが実行される」セキュリティホールを利用している。このセキュリティホールを塞いでしまえば、ウイルスがPCに感染することができない。

 このための修正プログラムが「セキュリティ問題の修正プログラム (823980)」として既に7月からWindows Updateを通して配布されているので、これを利用する。なお、Windows Updateを利用しないで修正プログラムをダウンロードし、実行するには、以下のサイトからパッチの実行ファイルをダウンロードできる。

◆MS03-026 に関する情報
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026ov.asp


ウイルス対策:すでに感染していた場合

シマンテックのW32.Blaster.Worm駆除ツール
 すでにウイルス対策ソフトベンダー各社からこのウイルスに対する駆除ソフトが開発され、配布されている。これを手に入れて駆除するようにしよう。また、駆除した後で、マイクロソフトが配布しているセキュリティパッチも忘れずに当てておきたい。


◆W32.Blaster.Worm駆除ツール(シマンテック)
http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html
◆AVERTウイルス駆除ツールStinger(日本ネットワークアソシエイツ)
(2003/8/12発行のStinger v1.8.0で対応している)
http://www.nai.com/japan/security/stinger.asp
◆ワームLovsan用駆除ツール(F-Secure)
ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip

 マイクロソフトのサイト(Microsoft TechNet)にもBlaster対策ページが掲載された。よくまとまっているので予防対策の参考にされるといいだろう。

◆Blasterに関する情報(マイクロソフト)
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
◆Blaster ワームへの対策 - Windows XP編
http://www.microsoft.com/japan/technet/security/virus/blasterE_xp.asp
◆Blaster ワームへの対策 - Windows 2000/Windows NT 4.0編
http://www.microsoft.com/japan/technet/security/virus/blasterE_nt4w2k.asp



(大和 哲)
2003/08/13 18:25
Broadband Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.