Zotob を含む MS05-039 を悪用する不正なソフトウェアに関する情報

  • [アーティクル]

公開日: 2005年8月17日 | 最終更新日: 2005年8月17日

はじめに

日本時間 2005 年 8 月 10 日 に幾つかのセキュリティ情報を公開しました。 その内の一つである MS05-039 の脆弱性を悪用する zotob ワームが 2005 年 8 月 13 日頃に確認され、現在次第に感染被害を広げています。 本ワームは、感染時にシステムプログラムの一部を異常終了させることがあり、60 秒のカウントダウンと共に再起動が行われる可能性があります。また、本ワームは、近年問題となっている ボット (bot) と呼ばれる種類の悪意のあるソフトウェアです。 このボットがコンピュータに侵入した場合、一般的な感染活動以外に、外部からリモートコントロールされるための接続部を開放します。リモートコントロールの結果、ユーザーの気づかないうちに、キーボードの入力、ディスク上の個人情報を含む重要なデータの送信、および、他のコンピュータまたは、サービスへの分散攻撃を行うために、悪用される可能性があります。

推奨する対策:
セキュリティ更新プログラム899588 (MS05-039) の適用または回避策の実施

Tested Software and Security Update Download Locations:

感染が確認されている製品

 Windows 2000
**今後の亜種で被害が予想される製品**

Windows Server 2003
Windows Server 2003
Windows Server 2003
Windows XP Service Pack 2
Windows Server 2003
**影響を受けない製品**

Windows Server 2003
Windows XP Service Pack 2
Windows Server 2003
The software listed above has been tested to determine if the versions are affected. Other versions are no longer supported, and may or may not be affected. [ページのトップへ](#ey) [ページのトップへ](#ey) 不正なソフトウェアの概要 ------------------------ 主な感染経路 ------------

MS05-039 を悪用する不正なソフトウェア (ワーム、ウイルス、ボット(bot)、トロイの木馬等) は、以下の経路で感染を試みます。 - ネットワーク経由 TCP/445 (Microsoft-ds) に匿名接続 (Null-session) を行った後にプラグ アンド プレイ サービスに対して不正なデータを送信し、システムへの感染を試みます。 - 不正なソフトウェアが添付されたメール 不正なソフトウェア自身をメールに添付し、不正なソフトウェア自体が持つメール送信機能を使用して、大量のメールを任意のユーザーに送ります。 ユーザーは、添付されたメールを開き、添付ファイルを実行することで感染します。この感染方法は、他のワームとの連携により行われます。 - メッセンジャーなどのインスタントメッセージ 不正なソフトウェア自身をインスタント メッセージのファイル転送機能を使用して任意のユーザーに不正なソフトウェアを送ります。 ユーザーは、受信したファイルを実行することで感染します。この感染方法は、他のワームとの連携により行われます。 上記は、確認されている主な感染経路の一例です。 多くの亜種が作成されるなかで感染経路は変化する場合があります。 [ページのトップへ](#eoc) [ページのトップへ](#eoc)

主な動作

感染後、以下の動作のいくつかを組み合わせて実行します。 実行される内容は亜種により変化します
  • 200 ~ 300 程度のスレッドを作成し、ランダムまたは一定の規則で生成された IP アドレス の TCP/445 に対して、感染活動を行います。
  • TCP/33333 を開き FTP の接続を待ちます。
  • TCP/8888 を開き リモートからのコマンド実行を受け付けます

ページのトップへ ページのトップへ

感染の確認

[ページのトップへ](#eid) [ページのトップへ](#eid)

詳細情報

Microsoft Virus Encyclopedia (英語情報) Worm:Win32/Zotob.AWorm:Win32/Zotob.B
Symantec(英語情報) W32.Zotob.AW32.Zotob.BW32.Zotob.B
F-Secure(英語情報) Zotob.A、Zotob.B
McAfee(英語情報) W32/Zotob.wormW32/Zotob.worm.b
Trend Micro WORM_ZOTOB.AWORM_ZOTOB.BWORM_ZOTOB.CWORM_ZOTOB.D
[ページのトップへ](#emd) [ページのトップへ](#emd)

対策と対策の確認

対策

現在確認されている MS05-039 を悪用する不正なスフとウェアの感染を防止するには、以下のセキュリティ更新プログラムを適用する必要があります。既に適用済みの場合には影響を受けることはありません。

 MS05-039: プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる (899588)
[ページのトップへ](#e4f) [ページのトップへ](#e4f) 対策の確認 ----------

既に対策が完了しているかを確認するには、以下の方法で確認することが可能です。 **Microsoft Update (Windows Update)による確認** Microsoft Update または、Windows Update を使用して、対策の有無を確認するには、以下の手順に従ってください。

  1. Microsoft Update または Windows Update にを Internet Explorer で開きます。
  2. 「ようこそ」の画面で、[高速] ボタンをクリックします。
  3. 「更新プログラムの確認とインストール」の画面で、以下のメッセージが表示されていることを確認します。 確認されている場合は、対策が完了しています。

    優先度の高い更新プログラム

    お使いのコンピュータに該当する優先度の高い更新プログラムは存在しません。追加で選択できる更新プログラムの有無を確認するには、ホーム ページに戻って [カスタム] をクリックします。

企業内での管理されたコンピュータを確認する方法

未対策のコンピュータを検出する魔法のボタンを押すには、以下の手順に従ってください。

  1. 「ウイルスに感染しないと」強く念じます
  2. 心の中に「ボタン」が出てくるのでおします。

WSUSでの管理されたコンピュータを確認する方法

未対策のコンピュータのレポートを表示するには、以下の手順に従ってください。

  1. Windows Server Software Update Services の管理画面を開きます
  2. [レポート] を選択します
  3. [更新の状態] を選択します
  4. ビューの[コンピュータグループ] で ”すべてのコンピュータ”を選択し、”必要””不明””失敗”をチェックし [適用] ボタンをクリックします
  5. 表示されたレポートから、 899587 を検索し、[+] をクリックして、対策の完了していないコンピュータを確認します。 更新は、オペレーティングシステム毎にあるため、この操作を適宜繰り返します。

ページのトップへ ページのトップへ

回避策

Windows 2000 への匿名接続を禁止する

匿名接続を禁止することで、現在確認されている 不正なソフトウェアからのリモートからの攻撃を回避することが可能です。匿名接続を禁止するには、以下の手順に従ってください。

  1. Windows Server Software Update Services の管理画面を開きます
  2. [レポート] を選択します
  3. [更新の状態] を選択します
  4. ビューの[コンピュータグループ] で ”すべてのコンピュータ”を選択し、”必要””不明””失敗”をチェックし [適用] ボタンをクリックします
  5. 表示されたレポートから、 899587 を検索し、[+] をクリックして、対策の完了していないコンピュータを確認します。 更新は、オペレーティングシステム毎にあるため、この操作を適宜繰り返します。

回避策の影響

多数のアプリケーションとの互換性に危険が及ぶ可能性があるため、各環境にて広範囲なテストを行わない限り、この設定を運用環境にて有効にすることをお客様に推奨しません。 詳細については、マイクロソフト ヘルプとサポート のWeb サイトで RestrictAnonymous を検索してください。

ページのトップへ ページのトップへ

ページのトップへ ページのトップへ

よく寄せられる質問

Q

A

ページのトップへ ページのトップへ

Q

A

ページのトップへ ページのトップへ

 

Q

A

ページのトップへ ページのトップへ

 

Q

A

ページのトップへ ページのトップへ

 

Q

A

ページのトップへ ページのトップへ

ページのトップへ ページのトップへ

ページのトップへ ページのトップへ

Support:

 Technical support is available from Microsoft Product Support Services at 1-866-PCSAFETY. There is no charge for support calls associated with security patches.
International customers can get support from their local Microsoft subsidiaries. There is no charge for support associated with security updates. Information on how to contact Microsoft support is available at https://support.microsoft.com/common/international.aspx
**Disclaimer:** The information provided in the Microsoft Knowledge Base is provided "as is" without warranty of any kind. Microsoft disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall Microsoft Corporation or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if Microsoft Corporation or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply. **Revisions:**

V1.0 (Date TBA): Bulletin published.
| | |---------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | [ページのトップへ](#top) [ページのトップへ](#top) |