ウイルス気を付けてください!!!!!!!!!!!!!!!!!!!!!!!![ウィムバイロス]

プルポシックグ方々ケ申し上げますインターネットで拡散するウイルス



プルポシックグ方々ははやく早くアンチォルスバイロスがショで該当のパッチ受けるんですオンノング迅速に



対処してくださいいたずらではないです危険等級が[上]です興奮真書ではなく出ないね



オンノングパッチ受けて安全になるように祈りますいたずらではなくてインターネットなさればずっとウイルスかかるからです



オンノングバイロスパッチ受けるのをバラムニだ寝てこれする安哲秀ウイルスから持って来た文です







Win32/Blaster.worm.6176



他の名前 W32.Blaster.Worm W32/Lovsan.worm Worm.Win32.Blaster.6176

Win32.HLLW.Lovesan.11296 WORM_MSBLAST.A



感染の時危険も 3等級(のために)



拡散危険も 2等級現在拡散も 1等級



種類ワーム感染形態実行ファイル



感染 OS ウィンドウ感染経路ネットワーク/保安脆弱性



最初発見である 2003-08-11 国内発見である 2003-08-12



特定活動である 1月 ~ 8月 : 16日以後

9月 ~ 12月 : 毎日製作国不明



診断可能エンジン 2003.08.12.00 治療可能エンジン 2003.08.12.00



※ 表記した日付以後のエンジンで診断及び治療が可能です.



症状 - 135回(番)フォトで多量のトラフィックが発生する.

- 場合によってエロ窓が見えるとかシステムが再起動されたりする.

- 感染されたシステムの日付によって特定サイトを攻撃する.



内容 Win32/Blaster.worm.6176は 2003年 8月 12日夜明け(韓国時間基準)に発見されたし 8

月 12日朝から多くのサンプルを受け付けた.



ウィンドウ NT 系列 ( NT/2000/XP/2003 )の RPC DCOM 脆弱性を利用して伝えるワームでウィンドウ

9X 系列(ウィンドウ 95/98/Me)は影響を受けない.



RPC DCOM 脆弱性を持ったウィンドウシステムで感染されながら感染されたシステムは 135回(番)フォト(epmap)

義トラフィックが著しく増加してシステムによって再起動やエラーメッセージの見える場合がある.







ワームはウィンドウ NT 系列の脆弱性を利用するのでパッチをしなければ根本的に感染を阻む数

ない.



- 電波方法



ワームファイルが始まればランダムした IP アドレスを選択して住所を一つずつ増加させて RPC DCOM 脆弱

性があるシステム(135回(番)フォト利用)を捜して攻撃する.



攻撃システムは脆弱性を持ったシステムの命令プロンプトを得ることができるし以後 TFTP プログラム

(TFTP.EXE)を利用してワームファイル(MSBLAST.EXE)をコピーしてワームファイルを行う.



システムによってシステムが再起動されるとかエラーメッシュ紙槍(窓)が見えたりする. エラーメッシュ紙槍(窓)が見えたシース

テムは探索器で "ファイルコピー"(Ctrl C)や "張り付け(P)"(Ctrl P) などの命令が実行されない.





- 実行後症状



ワームファイルが実行されれば次のレジストリにワームファイルを登録してウィンドウ手始めの時自動実行されるようにする.



HKEY_LOCAL_MACHINE

\SOFTWARE

\Microsoft

\Windows

\CurrentVersion

\Run に Windows auto update に msblast.exe 登録







以後システム日付を検査して毎月 16日以後あるいは毎年 9月以後なのか検査する.

すなわち 1月~8月は毎月 16日以後 9月~12月には毎日 Windowsupdate.com を攻撃する症状が

ある. したがって 2003年 8月 16日から初攻撃が始まる.



感染されたシステムはやっぱり他のシステムを感染させる.



感染されたシステムを NETSTAT に確認すれば多くのフォトが開かれていることを分かる. 現在までこのフォト義目的は知られなかった







多くの IPに 135回(番)フォトで SYN_SENT パッケージを送るのを見られる.

これは脆弱性が存在するシステムを捜すための過程だ.









治療方法 - 今日緊急アップデートされた緊急エンジン(2003.08.12.00)にアップデートして診断/治療(削除)限り

だ.



- システムが何人ごとに再起動される現象が発生するシステムでは次のように受動措置する.



1. ネットワーク線を抜いてウィンドウ起動の時 [F8] を押して "安全モード"路起動する.



2. "ウィンドウ作変身管理者" ( Ctrl Alt Del を同時に押した後作変身管理者(T) 選択)を選択後

プロセスで MSBlast.exe ファイルを捜して終了させる.







3. 探索器で TFTP.EXE ファイルの捜して名前を他の名前 ( はい. TFTP.EX_ )に変更する. おこる

ワームが TFTP.EXE を通じて伝えるので TFTP.EXE の実行を阻めばワームが該当のシステムでゾンパドエ

増えた過程を阻むことができる. しかし RPC DCOM 脆弱性攻撃自体を阻むことはできない.



4. 探索器で MSBLAST.EXE ファイルを捜して削除する. 表示(V) -> 探索槍(窓)(E) -> 検索(S)のファイル

及びフォルダ探しで MSBLAST.EXE 選択する.



5. 捜した MSBLAST.EXE ファイルサックゼウル削除する.



6. 感染されないシステムで使う OS バージョンに当たる次のパッチをダウンしてプロッピィーディスインテグレートク

あぶ盛ってコピーする.





- Windows 2000 (ハングルバージョン)

[MS社で受けること] [AhnLabで受けること]



- Windows 2000 (英文バージョン)

[MS社で受けること] [AhnLabで受けること]



- Windows XP (ハングルバージョン)

[MS社で受けること] [AhnLabで受けること]



- Windows XP (英文バージョン)

[MS社で受けること] [AhnLabで受けること]



- Windows NT 4.0 (ハングルバージョン)

[MS社で受けること] [AhnLabで受けること]



- Windows NT 4.0 (英文バージョン)

[MS社で受けること] [AhnLabで受けること]



- Windows NT Server 4.0 Terminal Server Edition (英文バージョン)

[MS社で受けること] [AhnLabで受けること]



- Windows Server 2003 (英文バージョン)

[MS社で受けること] [AhnLabで受けること]



7. 感染されたシステムを再起動した後プロッピィーディスインテグレートクに盛ったパッチをハードディスインテグレートクでコピーする.



8. コピーしたパッチファイルを行ってパッチを適用した後ネットワーク線をさして再起動する.



9. 3回(番)で変更したファイルの名前をまた TFTP.EXE に修正する.





参照事項 Microsoft RPC バッファーオーバーフロー弱み詳しい表示