複数のセキュリティ・ベンダーは9月7日以降,新種のワーム「Code Blue」が出現したことを伝えている。このワームは,Windows マシンに侵入して,「Code Red」ワームが悪用する,Internet Information Server/Services(IIS)のセキュリティ・ホールをふさぐ。Code Blue自身は,これとは異なるセキュリティ・ホールを突いて,他のマシンへ感染を広げる。さらに,中国のある特定サイトへ大量のデータを送信して,DoS(サービス妨害)攻撃を仕掛ける。ただし,各社の情報によると,感染被害はほとんど報告されていない模様。
Code Blue は,2000年10月に発見された「『Web サーバー フォルダへの侵入』の脆弱性に対する対策」というセキュリティ・ホールを突いて,IIS を運用するWindowsマシンに侵入する。実際には,自分自身を含むファイルをコピーする。もちろん,パッチを適用するなどして対策を施していれば,侵入されることはない。
ワームの実体は「svchost.exe」という実行形式のファイルであり,メモリーに常駐する Code Red とは異なる。svchost.exe は,まずレジストリを改変して,対象マシンが起動されるたびに,自分自身も起動するように設定する。
次に,「d.vbs」というVBS(Visual Basic Scripting)ファイルを生成し,実行する。このファイルが,「.ida」,「.idq」,「.printer」のスクリプトマッピングを削除して,Code Red ワームが悪用するセキュリティ・ホールや,2001年5月に発見されたセキュリティ・ホールをふさぐ。マッピングの削除後,ワームは d.vbs を削除する。
そして,ワームは別のマシンに侵入を試みる。米Internet Security Systems の情報によれば,侵入しているマシンのIPアドレスに近いアドレスを持つマシン100台に対して,同時に侵入を試みるという。
ただし,マシンの時計が午前10時から午前11時の間は,中国のある特定サイトへ大量のデータを送信して,DoS攻撃を試みる。
Code Blue ワームは,侵入したマシンに対して破壊活動を行うことはない。バックドアを仕掛けるようなこともしない。しかしながら,感染活動の際にマシンのリソースを大量に消費するため,システムが不安定になったり,操作不能になる可能性がある。なにより,DoS攻撃の踏み台にされる恐れがある。悪意のあるワームということに間違いはない。Code Blue の侵入を許してはならない。
◎参考資料
◆Code Blue Worm(米Internet Security Systems)
◆W32/CodeBlue(英Sophos)
◆W32.BlueCode.Worm(米Symantec)
◆TROJ_BLUECODE.A(米Trend Micro)
◆TROJ_BLUECODE.A(トレンドマイクロ)
