フィンランドF-Secureなどは現地時間10月23日,10月に公開されたWindowsのセキュリティ・ホールの一つを突いてPCに感染する「ボット」が出現しているとして注意を呼びかけた。ボットに感染すると,DoS(サービス妨害)攻撃などの踏み台に悪用される。まだパッチを適用していないユーザーはできるだけ早急に適用したい。
F-Secureなどが注意を呼びかけているボットは,10月12日に公表されたセキュリティ・ホール「プラグ アンド プレイの脆弱性により,リモートでコードが実行され,ローカルで特権の昇格が行なわれる (905749) (MS05-047)」を突いてPCに侵入する(関連記事)。
「MS05-047」のセキュリティ・ホールの影響を受けるのはWindows 2000/XP。このセキュリティ・ホールをリモートから悪用できるのはログイン資格を持つユーザーに限られ,匿名ユーザーが悪用できる可能性は少ないと考えられる。このため深刻度は「重要」に設定されている。しかしながら,セキュリティ情報の「脆弱性の詳細」によれば,8月に公開された「MS05-039」のパッチを適用していないWindows 2000については,匿名ユーザーにリモートから悪用される可能性があるという。
F-Secureや米McAfeeでは,今回見つかったボットを「Mocbot」と命名している。MocbotはTCPポート139番および445番を突いてセキュリティ・ホールがあるPCに侵入する。侵入に成功すると,ボット本体「wudpcom.exe」をシステム・フォルダ(例えば,c:\windows\system32)にインストールする。動作し始めたボットはロシアに置かれた2種類のIRCサーバーのいずれかにアクセスして,攻撃者からの命令を待ち受ける。そして命令にしたがってDoS攻撃を仕掛けたり,セキュリティ・ホールがある他のマシンを探したりする。ただしF-Secureの情報によれば,該当のIRCサーバーはいずれもアクセスできない状態になっているという。
F-Secureによれば,「MS05-047」を悪用するマルウエア(悪質なプログラム)は今回のMocbotが初めてだという。現時点ではMocbotは感染を広げておらず,その危険度は低いが,きちんとパッチをあてて感染しないようにしておきたい。
「MS05-047」以外のセキュリティ・ホールを突くプログラム(Exploit)も複数公開されている(関連記事)。これらを基にしたボット(ワーム,ウイルス)は,いつ出現しても不思議ではない。いずれのセキュリティ・ホールについても,パッチを適用してきちんとふさいでおきたい。
◎参考資料
◆First MS05-047 malware found
◆Mocbot.A
◆A new botnet - Mocbot
◆IRC-Mocbot
