米Symantecは,新たなワーム「W32.Welchia.Worm」の脅威度評価を「Level 2」から「Level 4」に引き上げた。同社が米国時間8月19日に明らかにしたもの。

 Symantec社は,W32.Welchia.Wormによる大量のICMPトラフィック発生で,大企業の社内ネットワークが混乱状態に陥ったとの報告を受け取っているという。中には,重要なネットワーク・リソースにアクセスできない企業ユーザーもいる。

 W32.Welchia.Wormは,Windows RPC DCOMのセキュリティ・ホール(MS03-026)を悪用するワーム「W32.Blaster.Worm」に感染したマシンを狙う。W32.Welchia.Wormはシステムに侵入すると,W32.Blaster.Wormの実行ファイル「msblast.exe」を削除し,RPC DCOMセキュリティ・ホール用のパッチを米Microsoftの「Windows Update」からダウンロードしてインストールを試みる。パッチをインストールすると,マシンを再起動する。

 W32.Welchia.Wormは,他のマシンに感染する際に,ICMPエコーというPINGを送信する。これがICMPトラフィックの急増を引き起こしている。

 W32.Welchia.Wormが進入経路に使うのは,RPC DCOMセキュリティ・ホール用パッチを当てていないWindows XPまたは同2000搭載マシンのTCP 135番ポート。また,「IIS 5.0」を搭載し,WebDAVに関するセキュリティ・ホール用のパッチを当てていないマシンのTCP 80番ポートも悪用する。

 「(W32.Blaster.Wormを停止させるという)元の意図はどうあれ,W32.Welchia.Wormは,ネットワーク・システムを膨大なトラフィックで満たし,企業の重要なサーバーをサービス停止状態にさせてしまうワームだ」(Symantec社Security Response部門上級ディレクタのVincent Weafer氏)

 ちなみに米メディアの報道(CNET News.com)によると,W32.Blaster.Wormは同時に20件のネットワーク・アドレスへの感染を試みるが,W32.Welchia.Wormは300件のアドレスに感染しようとするため,W32.Blaster.Wormより急速に広がるおそれがある。

◎関連記事
米MS,「Blaster」ワームのDoS攻撃対策でアップデート・サイトのアドレスを変更
【Blaster続報】「IPAへの届け出は1200件超,トラフィックの急増は見られない」――経産省
Windows Updateサイトに攻撃を仕掛けるワームが出現,“超特大”ホールを狙う
8月16日午前1時,Blasterによるトラフィック増加は観測されず
Blasterに感染した世田谷区役所,ルートは人的な“持ち込み”か
なぜWindowsが再起動させられるのか?――「Blaster」ワームの謎を解く
Windows 2000に「緊急」のセキュリティ・ホール,IISサーバーが乗っ取られる
IISにまたもやバッファ・オーバーフローの穴

[発表資料へ]