ネットワーク・セキュリティに関するWebサイト「Internet Storm Center(ISC)」は,Windowsで発見されたRPC/DCOMのセキュリティ・ホールを狙うワームを検出したと発表した(該当サイト)。このセキュリティ・ホールに対するセキュリティ・パッチが適用されていないWindows 2000/XPで感染を広げる。
ISCによると,このワームは上記セキュリティ・ホールを使って自身を自己解凍形式の圧縮ファイルとして送りつける。ファイルのサイズは,6176バイトで,圧縮を解除すると11Kバイトになる。ファイルはmblast.exeという名前で,MD5チェックサムは「5ae700c1dffb00cef492844a4db6cd69」である。
システムが感染してこのワームを実行すると,ポート4444にバックドア(裏口)が作られる。そして,さらに多くのワーム・ファイルを,ある領域のTFTP(Trivial File Transfer Protocol)サーバーからダウンロードしようとする。
また,このワームは,システムの再起動時に実行するプログラムを記述するレジストリ・キーを追加する。具体的にはSOFTWARE\Microsoft\Windows\CurrentVersion\Runの部分(HKEY_LOCAL_MACHINEの下にある)にある「windows auto update」という値の名前である。
このワームは,他のシステムに侵入するときに,IPアドレスを連続的にスキャンして,ポート135が空いているマシンを探す。ISCはスキャンを開始するアドレスはランダムに選ばれているようだという。米Symantecはスキャンするアドレスを決めるアルゴリズムを公開した。それによると,最初にローカル・サブネットがスキャンされ,その後にローカル・サブネットの外をスキャンする。
また,Symantecは,このワームがMicrosoftのWindows Updateサイトに対する分散サービス拒否攻撃(DDoS)をしかけるとしている。16日から31日までの任意の日に,SYN flood攻撃が感染したマシンから行われるという。
システムを感染から守るには,ポート135から139(UDPとTCP),445(TCP),593(TCP)をふさぎ,Microsoftが提供するパッチを適用することである。TFTPが使うポート69,ワームが作るバックドアが使うポート4444もブロックする。以上でワームによるコードのダウンロードや拡散を防ぐことができる。ただし,Kerberosのいくつかの処理でポート4444が使われるという報告がある。このポートをブロックするときにはKerberosの機能を一部損なうことに注意したい。
dcomcnfg.exeというツールを使ってDCOMの機能を無効にすることも対策として考えられているが必ずしも有効ではないことに注意したい。Windows 2000 Service Pack 2のシステム,およびSP2より前のWindows 2000においてSRP1(Security Rollup Package 1)またはMS01-041のパッチ(関連記事はQ298012)を適用したものでは,DCOMの無効化がうまくいかない。
ISCによると,フリーウエアの侵入検知システムSnortの既存のRPC/DCOMシグニチャで,このワームが検出できるという。Symantecは下記のような別のSnort用シグニチャを提供している(詳しくはSymantecのレポート参照)。
alert tcp $EXTERNAL_NET any -> $HOME_NET 135 \
(msg:"DCE RPC Interface Buffer Overflow Exploit"; \
content:"|00 5C 00 5C|"; \
content:!"|5C|"; within:32; \
flow:to_server,established; \
reference:bugtraq,8205; rev: 1; )
このワームに感染した場合は,eEye Digital Securityが以下の操作で除去できるとしている。パッチを適用しているか分からない場合には,eEyeが無償で提供するスキャン・ツールが利用できる。
1. レジストリ・キーHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runにある値"windows auto update",文字列"msblast.exe"を削除する。
2.タスク・マネージャを起動して「msblast.exe」というプロセスが動作していたら,終了させる。
3.%systemroot%\system32\にあるmsblast.exeというファイルを削除する。
また,無償の除去ソフトがSymantecから提供されている。ただし,このとき,インターネット・リレー・チャット(IRC)で広まる「sdbot」のようなバックドアに感染していないかも注意したい。前述したツールではこの問題までは対処できない。Shavlik Technologiesも無償ソフト「HFNetChk Lite」を提供している。これを使うとネットワークをスキャンしてパッチが不足しているマシンを50台まで見つけて,自動的にインストールしてくれる。Winona大学に所属しているあるNTBugtraqユーザーは2つのVBScriptを公開した。パッチを適用してシステムをクリーンにするまでワームをコントロールする作業が支援される。このスクリプトをシステムの起動時やユーザーのログオン時にグループ・ポリシーとして実行するとよい。
このワームが感染に使うポート135をスキャンされたシステムの数は,Microsoftが7月16日にRPC/DCOMのセキュリティ・ホールをセキュリティ情報で公開してからかなり多くなっている。7月16日より前はざっと900から1100システムだった。8月11日には5万8900以上のシステムがスキャンされている。それらの多くはこのワームに感染しているだろう。
現在の状況を確認するには,Incidents.orgやDshield.orgを定期的に訪問するとよい。このワームに関する詳しい情報が得られる上,他の様々な不正アクセスに対する傾向とパターンを知ることができる(該当サイト)。
月曜日,この新しいワーム拡散のニュースがBugtraqメーリング・リストに流れた数分後に,匿名のユーザーがHotmailのアカウントでメッセージを投稿した。そこには,RPC/DCOMのセキュリティ・ホールを利用する新しいコードへのリンクが入っていた。ZIPファイル形式で圧縮されており,コード,コンパイルされた実行ファイル,それにマクロ・ファイルが含まれている。マクロは,感染したシステムのコマンド・シェルにバックドアをしかけるために利用できる。この「KaHT II」と呼ばれるコードは,単独で他のシステムに広がっていく能力がある。
