経済産業省や情報処理振興事業協会セキュリティセンター(IPA/ISEC),アンチウイルス・ベンダー各社は8月19日,新種ワーム「Welchi(Welchia,Nachi,MSBLAST.D)」の感染が広がっていることを警告した。「Blaster」が悪用するセキュリティ・ホールに加え,2003年3月8日に公開されたセキュリティ・ホールも悪用する(関連記事)。Blasterを回避できた組織(ユーザー)も,引き続き注意する必要がある。
被害を拡大している新種ワームは,感染マシン上で,Blaster(msblast.exe)のプロセスの停止およびファイルの削除を試みる。加えて,Blasterが悪用する(新種ワームも悪用する)セキュリティ・ホールのパッチをマイクロソフトのサイトからダウンロードして適用しようとする。これらのために“善玉”ワームと考えている方もおられるようだが,大きな間違いである。
IPA/ISECの情報によると,日本語環境ではパッチは適用されない。英語環境などでは,Blasterが悪用するパッチは適用されるようだが,その場合でも,新種ワームが悪用するもう一つのセキュリティ・ホールはふさがない。
また,Blaster同様,新種ワームはセキュリティ・ホールが存在するWindowsマシンを不安定にする(関連記事)。【8月20日追記】Blasterとは異なり,新種ワームは感染したマシンを不安定にはしないという情報もある。不安定になっていなくても,新種ワームに感染している可能性があるので,注意が必要である【8月20日追記ここまで】。加えて,感染活動に伴って,トラフィックを増大させる。特に,新種ワームはこれから感染しようとするマシンに対して,そのマシンが稼働しているかどうか調べるためにpingを実行する。すなわち,ICMP echoリクエストを送信する。このため,Blaster以上にトラフィックを増大させる。
実際,IPA/ISECでは,このワームによるものと思われるICMPリクエストの急増を観測している。未確認情報ではあるが,セキュリティ関連のメーリング・リストなどでも,ICMPリクエストのトラフィックが増大していることを伝える投稿が多数寄せられている。
Blasterの感染を防げた組織(ユーザー)も,十分注意する必要がある。
アンチウイルス・ベンダーの情報によれば,新種ワームが感染しているかどうかは,Windowsのシステム・フォルダの下の「WINS」フォルダ(例えば,C:\WINNT\SYSTEM32\WINS\)に「DLLHOST.EXE」(10240バイト)が存在するかどうかを調べれば分かる。存在する場合には,新種ワームに感染している。なお,「DLLHOST.EXE」という名前のファイルは,“正規”に存在するので,注意してほしい。システム・フォルダ(例えば,C:\WINNT\system32\)に存在する,ファイル・サイズが5~6 kバイトのDLLHOST.EXEは,正規のシステム・ファイルである。
また,コントロール・キー(Ctrl)とShiftキーを押しながらEscキーを押せば表示される「タスクマネージャ」の「プロセス」タブに,「Dllhost.exe」というイメージ名がある場合には,感染した新種ワームが稼働している。
確認できた場合には,感染の拡大を防ぐために,すぐにネットワークから切り離す。そして,Blaster同様,ネットワークから切り離した状態で対策を施す。組織(企業)内のユーザーは,システム管理者や部署の担当者に連絡して,指示を仰いでほしい。
今後,異なる新種ワームが出現する可能性は高い。現在何の被害もない組織でも,きちんと対策していること――「すべてのWindowsマシンにパッチが適用されていること」「最新のウイルス定義ファイルを備えたウイルス対策ソフトがインストールされていること」「ファイアウオールなどで不要なポートをふさいでいること」――を改めて確認してほしい。
また,ワームがノート・パソコンなどで持ち込まれる危険性もある。未対策のマシンはLANにつながないことを,すべてのユーザーに改めて呼びかける必要がある。
◎参考資料
◆新種「W32/Welchi」ワームに関する情報(IPA/ISEC)
◆新種ワームの発生に関する注意喚起について(経済産業省)
◆W32.Welchia.Worm(シマンテック)
◆WORM_MSBLAST.D(トレンドマイクロ)
◆Nachi(日本ネットワークアソシエイツ)
◆Blaster ワームの亜種 にご注意ください(マイクロソフト)
(勝村 幸博=IT Pro)
