MSBlastを掃除しパッチを当てる新ワーム

これに感染するとランダムなIPアドレスに対し、ICMP Echoリクエスト
(いわゆるPING)を発行する。応答があると、135番ポートを使って攻撃
し、さらに成功すると707番ポートをつかってリモートシェルを起動
してワーム本体をコピーする。

このワーム本体が起動すると、まずMSBlast.exeを停止させ、次に
http://download.microsoft.com/download/以下の8つのURLにアクセス
して、MS03-026のセキュリティホールを修正するためのパッチをダウ
ンロードし、適用させようとする。ただし対応しているのは英語版、
中国語版、韓国語版のみで、日本語版は修正できない。

善玉ワームとも言えるかもしれないが、やはり手法としては宜しくない。