gaobot

W32.HLLW.Gaobot.AA の特徴

W32.Blaster.Wormとその変種、Welchia、Nachiに続き、新たにWindows RPCの脆弱性を衝くワームが発生しました。
こちらに最新のウイルスのリストがあります。

このワームは、複数のウイルスの特徴を併せ持つ、複合型ウイルスで、感染手法、破壊活動ともに多岐にわたっています。
感染対象
Windows 2000, Windows NT, Windows XP、とそのサーバ製品

感染経路
　　Windowsに存在するRPC DCOMインタフェースの脆弱性（MS03-026）（MSBlastと同じ）、135ポート。
　　Windows Locatorサービスの脆弱性（MS03-001）、445ポート。
　　IRCサービスの悪用、22226番ポート。
　　また、「Guest」や「Administrator」「Test」といった安易なアカウントと、「password」など、安易なパスワードを試し、共有ネットワークへの侵入を試みます。
　　以上のように、複数の感染経路と手法を持っています。
　　
　　これを防ぐには、ファイヤーウォール、ルータ等のネットワーク機器にて、悪用されるサービスのポート（135,445,22226)を閉じ、
　　通信を遮断することが有効です。
　　（このような不正侵入や不正なデータを遮断するため、｢不要なポートは全て閉じ、必要なポートのみ開放する｣運用形態が理想的です。）
　　
　　メールでの感染ではなく、ネットワーク経由で感染するタイプのウイルス（ワーム）です。
　　未対策のPCがウイルスを受信した時点で確実に感染します。
　　
破壊活動
　　単純に拡散するだけではなく、
　　IRCポートを中より開放し、バックドアプログラムのダウンロードや実行が可能となるほか、
　　侵入用アカウントの追加、
　　感染先PCの情報の盗用、
　　さらには他のIRCユーザーに向けたワームの送信など、さまざまな活動を行います。
　　また、不特定多数の第三者が、不正アクセス行為を行うことを可能にします。

　　バックドアの設置や、外部からコマンドを実行可能（第三者がPCの主導権を取れる状態）にする（踏み台）、
　　情報盗用による不正侵入（システムから見ると通常のアクセスにしか見えません）など、
　　データの流出、破壊のほか、他のPCやシステムを攻撃する拠点とされてしまいます。
　　この被害は個人で完結するものではなく、システム全体のセキュリティを低下させてしまいます。

　　外部より直接侵入することはありませんが、感染PCの直接接続による感染の危険性があります。
　　特に、ノートPCを自宅と往復して使用している方は、必ず対処をしてから接続してください。

最低限の対策

利用者は次の作業を行ってください。（感染している場合は次項の感染PCの対処を参照願います。）

　・ウイルス定義ファイルのアップデート　

　・Windowsupdateを行い、脆弱性を解消する。（不可能な場合は次のパッチを実行することで対処が可能です）。

　・サーバ管理者は、必要なパッチを当てる。
　　運用上の問題で難しい場合は、必ず不要なポートは全てフィルタリングする措置をとる。

　※Windowsupdateはネットワークの負荷によりアクセスできなくなる（失敗する）可能性があります。
　　その場合、最低限ウイルス定義ファイルのアップデートだけを行い、時間をみてwindowsupdateを再試行してください。

補足

　脆弱性は、日々新たなものが見つかり、対策方法（多くはWindowsUpdate）もその都度発表されています。　　
　
　最低限、ウイルス定義ファイルの更新さえ行っていただければ、”既存の”ウイルスに感染することはなくなります。
　しかし、ウイルスは｢脆弱性を利用しているだけ｣であり、人が直接的に攻撃することもあれば、新たなウイルスが発生することもあります。
　
　つまり、各利用者が脆弱性を放置する限り、根本的な問題は解決していない状態なのです。

　また、ウイルスに新しい機能を組み込むことは容易です。
　現状の感染力が高いウイルスに、データを破壊するロジックが付加された場合、甚大な被害が生じる可能性があります。
　（作成されないのは、社会的制裁が抑止力となっているからであり、それらが有効でない場合も想定できます）

　ウイルス定義ファイルは必ず、毎日更新し、脆弱性について、各メディアにて警告があった場合、
　速やかにWindowsUpdateを行ってください。

感染した場合の対処

既にネットワーク経由による攻撃を無差別に行ってます。
周囲の未対策PCは全て感染しているとして対処してください。

1　感染が確認されたPCは周囲を攻撃し続けています。
　　速やかにLANケーブルを抜き、被害が拡大しないようにしてください。

2　対策が終了しているPCで、最新のウイルス定義ファイルや、駆除ツールをダウンロードしてください。
　　　　
3　それらのファイルをMO、もしくはCD-Rなどにコピーしてください。
　　
4-１（駆除ツールがある場合）
　　感染しているPCを立ち上げ、管理者権限でログインします。（XP　Homeは通常通り）
　　先程のMOなどより、駆除ツールがあれば実行し、駆除を行ってください。
　　実行後は指示に従い、再起動をしてください。

　　次に、ウイルス定義ファイルを実行し、更新してください。

4-2
　　感染しているPCを立ち上げ、管理者権限でログインします。（XP　Homeは通常通り）
　　先程のMOなどより、定義ファイルをし、更新してください。。　　

5　ワクチンソフトからコンピュータの完全スキャン（全ドライブ）を行ってください。
　　ウイルスが検知されない、または検疫されている場合、
　　駆除に成功していますので、 LANケーブルを接続してください。
　　　　
6　Windowsupdateを行い、他の脆弱性を解消してください。
　　