Zotob を含む MS05-039 を悪用する不正なソフトウェアに関する情報
公開日: 2005年8月17日 | 最終更新日: 2005年8月17日
はじめに
日本時間 2005 年 8 月 10 日 に幾つかのセキュリティ情報を公開しました。 その内の一つである MS05-039 の脆弱性を悪用する zotob ワームが 2005 年 8 月 13 日頃に確認され、現在次第に感染被害を広げています。 本ワームは、感染時にシステムプログラムの一部を異常終了させることがあり、60 秒のカウントダウンと共に再起動が行われる可能性があります。また、本ワームは、近年問題となっている ボット (bot) と呼ばれる種類の悪意のあるソフトウェアです。 このボットがコンピュータに侵入した場合、一般的な感染活動以外に、外部からリモートコントロールされるための接続部を開放します。リモートコントロールの結果、ユーザーの気づかないうちに、キーボードの入力、ディスク上の個人情報を含む重要なデータの送信、および、他のコンピュータまたは、サービスへの分散攻撃を行うために、悪用される可能性があります。
推奨する対策:
セキュリティ更新プログラム899588 (MS05-039) の適用または回避策の実施
Tested Software and Security Update Download Locations:
感染が確認されている製品
Windows 2000 |
Windows Server 2003 | |
Windows Server 2003 | |
Windows Server 2003 | |
Windows XP Service Pack 2 | |
Windows Server 2003 |
Windows Server 2003 | |
Windows XP Service Pack 2 | |
Windows Server 2003 |
MS05-039 を悪用する不正なソフトウェア (ワーム、ウイルス、ボット(bot)、トロイの木馬等) は、以下の経路で感染を試みます。 - ネットワーク経由 TCP/445 (Microsoft-ds) に匿名接続 (Null-session) を行った後にプラグ アンド プレイ サービスに対して不正なデータを送信し、システムへの感染を試みます。 - 不正なソフトウェアが添付されたメール 不正なソフトウェア自身をメールに添付し、不正なソフトウェア自体が持つメール送信機能を使用して、大量のメールを任意のユーザーに送ります。 ユーザーは、添付されたメールを開き、添付ファイルを実行することで感染します。この感染方法は、他のワームとの連携により行われます。 - メッセンジャーなどのインスタントメッセージ 不正なソフトウェア自身をインスタント メッセージのファイル転送機能を使用して任意のユーザーに不正なソフトウェアを送ります。 ユーザーは、受信したファイルを実行することで感染します。この感染方法は、他のワームとの連携により行われます。 上記は、確認されている主な感染経路の一例です。 多くの亜種が作成されるなかで感染経路は変化する場合があります。 [](#eoc) [ページのトップへ](#eoc) |
主な動作
感染後、以下の動作のいくつかを組み合わせて実行します。 実行される内容は亜種により変化します
|
感染の確認
[](#eid) [ページのトップへ](#eid) |
詳細情報
|
対策と対策の確認
対策
現在確認されている MS05-039 を悪用する不正なスフとウェアの感染を防止するには、以下のセキュリティ更新プログラムを適用する必要があります。既に適用済みの場合には影響を受けることはありません。
MS05-039: プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる (899588) |
既に対策が完了しているかを確認するには、以下の方法で確認することが可能です。
**Microsoft Update (Windows Update)による確認**
Microsoft Update または、Windows Update を使用して、対策の有無を確認するには、以下の手順に従ってください。
企業内での管理されたコンピュータを確認する方法 未対策のコンピュータを検出する魔法のボタンを押すには、以下の手順に従ってください。
WSUSでの管理されたコンピュータを確認する方法 未対策のコンピュータのレポートを表示するには、以下の手順に従ってください。
|
回避策
Windows 2000 への匿名接続を禁止する
匿名接続を禁止することで、現在確認されている 不正なソフトウェアからのリモートからの攻撃を回避することが可能です。匿名接続を禁止するには、以下の手順に従ってください。
回避策の影響多数のアプリケーションとの互換性に危険が及ぶ可能性があるため、各環境にて広範囲なテストを行わない限り、この設定を運用環境にて有効にすることをお客様に推奨しません。 詳細については、マイクロソフト ヘルプとサポート のWeb サイトで RestrictAnonymous を検索してください。 |
よく寄せられる質問
Q
A
Q
A
Q
A
Q
A
Q
A
Support:
Technical support is available from Microsoft Product Support Services at 1-866-PCSAFETY. There is no charge for support calls associated with security patches. | |
International customers can get support from their local Microsoft subsidiaries. There is no charge for support associated with security updates. Information on how to contact Microsoft support is available at https://support.microsoft.com/common/international.aspx |
V1.0 (Date TBA): Bulletin published. |