WindowsOSに関する緊急の脆弱性について
IEとWindowsに新たに深刻なセキュリティホールが見つかりました。
MicrosoftはIE用の累積パッチ、Windows用パッチをリリースしています。
パッチのみのダウンロードの他、WindowsUpdateにて、脆弱性を解消することができます。
2003 年 8 月 Internet Explorer 6 Service Pack 1 用の累積的な修正プログラム (822925)
Microsoft Data Access Components 用セキュリティ問題の修正プログラム (823718)
今回のIEのセキュリティホールは、直接ウイルスには利用しにくいものですが、
累積パッチの適用により、過去に発表された多くの脆弱性を解消することができます。
Data Accessについての脆弱性は、過去にサーバをターゲットにしたウイルスが利用しています。
今回の発表により、個人PCを標的にするように組み替えられる可能性があります。
各利用者はバックアップをして、 WindowsUpdateを行ってください。
新たに発生した、亜種・新種ウイルスについて
W32.Blaster.Wormの発生以降、亜種や新種がコンスタントに確認されています。
・blasterと同様の進入経路をから感染し、blasterの拡散を妨害する W32.Welchia.Worm
・ソーシャルハッキングを試みる,、大量メール送信型ワーム W32.Dumaru@mm
・大量送信型ワーム(共有フォルダも感染経路)の ソビックFこと W32.Sobig.F@mm
などです。これら以外にも、多数のウイルスが発生しています(8/21現在)。
多くのウイルス作者たちがblasterに触発されている状態ですので、
今しばらくは、始業前(メールをチェックする前)に一度、ウイルス定義ファイルをアップデートするなど、警戒を続けてください。
特に、Windowsの脆弱性が発表されてから、一週間以内に脆弱性を利用するウイルスが発生する可能性があります。
基本的な対策
・ウイルス定義ファイルのアップデート
・Windowsupdate
WindowsUpdateはネットワークの負荷によりアクセスできなくなる(失敗する)可能性があります。
その場合、最低限ウイルス定義ファイルのアップデートだけを行い、時間をおいてwindowsupdateを再試行してください。
感染経路はネットワークのみで、その際は80・135ポートを使用し、
blasterと同じ脆弱性を利用するほか(135)、対策の行われていないIISサービス(80) も利用します。
これらの脆弱性はWindowsupdateにより解消することができます。
感染後の動作
感染PCにblasterウイルスが存在した場合、それを削除します。
次に、自身の進入経路であった脆弱性に、パッチを当て、補強します。
(blasterの拡散を妨害する)
次に、大量のデータをネットワーク内に送信し、脆弱性が放置されているPCからの応答を待ちます。
応答を確認次第、ウイルスコードを送信し、感染させます。
影響
感染したPCからは、莫大な量の探索データが放出され続けます。
また、感染したPCは鼠算式に増え続けます(脆弱性が解消される・もしくは脆弱なPCが全て感染するまで)
そのデータ量はblasterを遙かに凌ぐものであるため、ネットワーク速度の低下、断線が誘発されます。
このウイルスは善意によるものではなく、”blasterと勝負するため”に作られたと見た方がよいと思います。
(自分のウイルスが、感染を妨害し、沈静化できるか否かを試行している)
市大内へ直接侵入することはありません。
対策はblasterと同じです。
メールを大量送信し、感染を広げます。
また、blasterによる混乱を利用し、利用者がトロイの木馬をPCに感染させるように促します。
発生日にゲートウェイ・ウイルスチェッカーが対応しているため、
外部からyokohama-cu.ac.jp宛に送信されたメールは全てチェックを受けます。
ただし、送受信ともに市大内のメールや、hotmailやAOLなどの外部のwebmaiについてlはこの経路を通りませんので、留意してください。
件名・偽装された送信元は次の通りです。
差出人: "Microsoft" <security@microsoft.com>
件名: Use this patch immediately !
本文:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
添付ファイル: patch.exe
添付ファイルを実行、もしくは脆弱性のあるメーラー(WindowsUpdateを行っていないOutlook,OutlookExpless)
によるプレビューにて感染します。
感染後の動作
ウイルスをPC内にコピーします。
(全てのドライブの直下にあるexeファイルにウイルスコードが埋め込まれます。)
次に、不正侵入を容易にするため、PCに裏口を作成します。
PC内の情報から、メールアドレスを可能な限り採集し、送信先リストを作成します。
送信リストをもとに、ウイルスメールを大量に送信します。
このウイルスは独自にメールエンジンを持っているため、
メールソフトに記録を残さずに、背後でウイルスを送信し続けることが可能です。
対処方法
ウイルス定義ファイルのアップデート
Outlook、OutlookExplessのプレビュー機能の停止
不審なメールは開く前に、最新のウイルス定義ファイルを適用したワクチンソフトでスキャンをする
発生日当日にゲートウェイ・ウイルスチェッカが対応しているため、外部からyokohama-cu.ac.jp宛に届いたメール、
及び外部へ発せられたメールはチェックされます。
メールを大量送信し、感染を広げます。
2003年6月に流行した、sobig.aの亜種に当たり、特にウイルスメールの送信頻度が大幅に改悪(増加)されています。
メールだけではなく、共有フォルダを介して感染する可能性があります。
発生日にゲートウェイ・ウイルスチェッカーが対応しているため、
外部からyokohama-cu.ac.jp宛に送信されたメールは全てチェックを受けます。
ただし、送受信ともに市大内のメールや、hotmailやAOLなどの外部のwebmaiについてlはこの経路を通りませんので、留意してください。
添付ファイルを実行、もしくは脆弱性のあるメーラー(WindowsUpdateを行っていないOutlook,OutlookExpless)
によるプレビューにて感染します。
感染後の動作
ウイルスをPC内にコピーします。
次に、PC内の情報から、メールアドレスを可能な限り採集し、送信先リストを作成します。
送信リストをもとに、ウイルスメールを大量に送信します。
このウイルスは独自にメールエンジンを持っているため、
メールソフトに記録を残さずに、背後でウイルスを送信し続けることが可能です。
また、ウイルスの送信元は詐称されることがあります。
対処方法
・ウイルス定義ファイルのアップデート
・Outlook、OutlookExplessのプレビュー機能の停止
・不審なメールは開く前に、最新のウイルス定義ファイルを適用したワクチンソフトでスキャンをする。
発生日当日にゲートウェイ・ウイルスチェッカが対応しているため、外部からyokohama-cu.ac.jp宛に届いたメール、
及び外部へ発せられたメールはチェックされます。
1 感染が確認されたPCは周囲を攻撃し続けています。
速やかにLANケーブルを抜き、被害が拡大しないようにしてください。
2 対策が終了しているPCで、最新の定義ファイルや駆除ツールなどをダウンロードして下さい。
3 先ほどの定義ファイルをMO、もしくはCD-Rなどにコピーしてください。
4-1 感染しているPCを立ち上げ、駆除ツールを実行し、駆除を行ってください。(駆除ツールがある場合のみ)
実行後は指示に従い、再起動をしてください。
4-2 3のファイルにてワクチンソフトを更新してください。
6 ワクチンソフトからコンピュータの完全スキャン(全ドライブ)を行ってください。
ウイルスが検知されない、または検疫されている場合、
駆除に成功していますので、 LANケーブルを接続してください。
7 Windowsupdateを行い、他の脆弱性を解消してください。