RPC/DCOMのセキュリティ・ホールなどを狙う新しいワームが出現している。このワームは「Welchia」「Nachi」などの名前で呼ばれており,システムに侵入すると,MicrosoftのRPC/DCOM関連のパッチを強制的にインストールする。しかし,このワームは本当にユーザーを保護しているのだろうか。
いくつかのレポートによると,このワームはパッチを適用した後,自分自身をアンインストールしようとするという。システムにパッチを当てた後の行為としては,かなり正直で真っ当のように思える。しかし,問題点は,ユーザーの意図しないところで勝手に侵入してシステムにパッチを当てることはもちろん,2004年までは自分自身をアンインストールしないことである。さらに,ワームはユーザーに警告を発することなく,ポート707を開けてしまうという。慈悲深いワームという見方はこれ位にしておこう。実際にはそんなことはないのだから。
米Network Associatesによれば,このワームはユーザーのシステム(%systemroot%\System32\Winsフォルダ)に,2つのファイルを作り出す。このファイルはシステム・ファイルに偽装されている。1つは,dllhost.exeといってワームそのものである。もう1つは,svchost.exeで,TFTP(Trivial FTP)プログラムになっている。この2つのプログラムは,「Wins Client」と「Network Connections Sharing」というWindowsの機能と同じ名前のシステム・サービスもインストールする。そのため,これらがトロイの木馬であることにユーザーは気づきにくい。
明らかに,このワームはユーザーのシステムにパッチをインストールすることによって,防御を助けるのではない。その代わりに弱点のあるシステムに侵入して,自身がシステムに出入りするドアを作るとともに,他の侵入者を締め出しているのだ。
対策は,Microsoftのパッチをダウンロードして適用するか,RPC/DCOMに関連したポートを(ポート707を使うこのWelchia/Nachiワームも含めて),ファイアウオールなどで防御することである。
編集部注:情報処理振興事業協会セキュリティセンター(IPA/ISEC)がこのワームに関する情報を提供しています(該当サイト)
